Prinsip Dasar Phishing Tanda Tangan Web3 dan Langkah-Langkah Pencegahannya

Baru-baru ini, "phishing tanda tangan" menjadi salah satu metode penipuan paling umum yang digunakan oleh hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus mempromosikan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu alasan penting untuk situasi ini adalah bahwa sebagian besar orang tidak memahami logika dasar interaksi dompet, dan bagi non-teknisi, ambang belajar cukup tinggi.

Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar phishing tanda tangan dengan cara yang mudah dipahami.

Dua Jenis Dasar Operasi Dompet

Saat menggunakan dompet cryptocurrency, kita memiliki dua jenis operasi utama: "tanda tangan" dan "interaksi".

• Tanda tangan: terjadi di luar blockchain (off-chain), tidak perlu membayar biaya Gas.
• Interaksi: Terjadi di blockchain (on-chain), memerlukan pembayaran biaya Gas.

Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti masuk ke dompet atau menghubungkan DApp. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak memerlukan biaya.

Interaksi melibatkan operasi blockchain yang sebenarnya. Misalnya, saat menukar token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin kepada kontrak pintar untuk menggunakan token Anda (approve), kemudian melakukan operasi tukar yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.

Metode Phishing Umum

1. Otorisasi Phishing

Ini adalah metode phishing Web3 tradisional. Hacker biasanya akan membuat situs web yang menyamar sebagai proyek yang sah, menggoda pengguna untuk mengklik tombol "klaim airdrop" dan sebagainya. Sebenarnya, setelah pengguna mengklik, mereka akan diminta untuk memberikan izin (approve) alamat hacker untuk menggunakan token mereka sendiri.

Meskipun metode ini memerlukan biaya Gas, masih ada pengguna yang akan terjebak secara tidak sengaja.

2. Permit tanda tangan phishing

Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Berbeda dengan otorisasi tradisional, Permit tidak memerlukan pengguna untuk membayar biaya Gas.

Hacker dapat memanfaatkan mekanisme ini untuk membujuk pengguna menandatangani pesan yang tampak tidak berbahaya, padahal sebenarnya itu adalah izin bagi hacker untuk menggunakan token pengguna.

3. Phishing tanda tangan Permit2

Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna dan menghemat biaya Gas. Pengguna dapat memberikan otorisasi jumlah besar sekaligus kepada kontrak pintar Permit2, setelah itu setiap transaksi hanya memerlukan tanda tangan, dan biaya Gas dibayar oleh kontrak (dipotong dari token yang dipertukarkan terakhir).

Namun, ini juga memberikan jalan baru bagi peretas untuk menyerang. Jika pengguna pernah menggunakan DEX tersebut dan memberikan izin batas tanpa batas kepada kontrak Permit2, peretas dapat memindahkan token pengguna dengan mengelabui pengguna untuk menandatangani.

Tindakan Pencegahan

1. Tingkatkan kesadaran keamanan: Setiap kali melakukan operasi dompet, periksa dengan cermat operasi spesifik yang sedang Anda lakukan.

2. Pemisahan dana: Memisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.

3. Pelajari cara mengenali format tanda tangan Permit dan Permit2: Ketika Anda melihat permintaan tanda tangan yang berisi informasi berikut, harap berhati-hati:

   • Interaktif：alamat interaksi
   • Pemilik：Alamat pihak yang diberi wewenang
   • Spender: Alamat pihak yang diberi wewenang
   • Nilai：Jumlah yang diotorisasi
   • Nonce：angka acak
   • Deadline：waktu kedaluwarsa

Dengan memahami mekanisme dasar ini dan mengambil langkah pencegahan yang tepat, pengguna dapat secara signifikan mengurangi risiko menjadi korban phishing tanda tangan. Di dunia Web3, tetap waspada dan terus belajar adalah kunci untuk melindungi aset mereka.