Belakangan ini, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli di industri dan berbagai perusahaan dompet serta keamanan terus melakukan edukasi, masih banyak pengguna yang terjebak. Salah satu penyebab utama dari situasi ini adalah bahwa sebagian besar orang kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang batas untuk belajar cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan mencoba menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti saat masuk ke dompet. Ketika Anda ingin menukar token di suatu DEX, Anda perlu menghubungkan dompet terlebih dahulu, dan pada saat itu Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan menghasilkan data atau perubahan status di blockchain, jadi tidak perlu membayar biaya.
Interaksi terjadi saat pertukaran token dilakukan secara nyata. Anda perlu membayar biaya terlebih dahulu, memberi tahu kontrak pintar: "Saya menyetujui Anda untuk menggunakan 100USDT saya", langkah ini disebut otorisasi (approve). Kemudian, Anda juga perlu membayar biaya lain, memberi tahu kontrak pintar: "Sekarang silakan lakukan operasi pertukaran", sehingga transaksi selesai.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga cara phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode penipuan paling klasik di Web3. Hacker akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, antarmuka dompet yang muncul setelah pengguna mengkliknya adalah untuk memberikan izin kepada alamat hacker untuk menggunakan token pengguna. Setelah pengguna mengonfirmasi, hacker dapat berhasil mencuri aset.
Namun, phishing berizin memiliki kelemahan: karena membutuhkan biaya Gas, banyak pengguna menjadi lebih waspada saat melakukan operasi keuangan, sehingga relatif mudah untuk dicegah.
Phishing tanda tangan Permit dan Permit2 saat ini merupakan zona berbahaya bagi keamanan aset Web3. Dua metode ini sulit untuk dicegah karena pengguna harus terlebih dahulu menandatangani untuk masuk ke dompet saat menggunakan DApp. Banyak orang telah membentuk pola pikir "tindakan ini aman", ditambah lagi tidak perlu membayar biaya, dan sebagian besar orang tidak memahami makna di balik setiap tanda tangan.
Mekanisme Permit adalah fitur tambahan dari otorisasi di bawah standar ERC-20. Sederhananya, Anda dapat memberikan izin kepada orang lain untuk menggunakan token Anda melalui tanda tangan. Berbeda dengan otorisasi (Approve), Permit adalah Anda menandatangani sebuah "catatan", yang memungkinkan seseorang untuk menggunakan token Anda. Orang yang memegang "catatan" ini dapat membayar biaya Gas kepada kontrak pintar, memberi tahu kontrak: "dia mengizinkan saya menggunakan tokennya", sehingga memindahkan aset Anda. Dalam proses ini, Anda hanya menandatangani, tetapi sebenarnya mengizinkan orang lain untuk memanggil otorisasi (Approve) dan memindahkan token Anda.
Permit2 bukanlah fungsi ERC-20, melainkan fitur yang diperkenalkan oleh beberapa DEX untuk memudahkan pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi jumlah besar sekaligus kepada kontrak pintar Permit2, sehingga setiap transaksi berikutnya hanya perlu tanda tangan tanpa perlu otorisasi ulang. Ini dapat menghemat biaya Gas pengguna, tetapi juga meningkatkan risiko keamanan.
Untuk mencegah phishing tanda tangan, kita dapat mengambil langkah-langkah berikut:
Kembangkan kesadaran keamanan, periksa dengan teliti konten operasi setiap kali melakukan operasi dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat tanda tangan yang berisi informasi berikut, waspadalah:
Interaktif:Alamat interaktif
Pemilik:Alamat pemberi kuasa
Spender: Alamat pihak yang diberi wewenang
Nilai:Jumlah otorisasi
Nonce:angka acak
Deadline:Waktu kedaluwarsa
Dengan memahami logika dasar ini dan mengambil langkah pencegahan yang sesuai, kita dapat lebih baik melindungi keamanan aset Web3 kita.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
4
Bagikan
Komentar
0/400
MetaverseLandlord
· 07-19 17:06
Lebih baik merayap di on-chain daripada menghabiskan hidup di penjara.
Lihat AsliBalas0
pumpamentalist
· 07-19 16:56
Hanya satu tanda tangan yang bisa membawa koinmu.
Lihat AsliBalas0
MonkeySeeMonkeyDo
· 07-19 16:50
pemula还是别玩签名了..
Lihat AsliBalas0
faded_wojak.eth
· 07-19 16:47
Pemula pemain, setiap hari tertipu, ayo semua cepat berikan sedikit tips
Penjelasan Detail Phishing Tanda Tangan Web3: Jerat Otorisasi, Permit, dan Permit2 serta Strategi Pencegahannya
Analisis Logika Dasar Phishing Tanda Tangan Web3
Belakangan ini, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli di industri dan berbagai perusahaan dompet serta keamanan terus melakukan edukasi, masih banyak pengguna yang terjebak. Salah satu penyebab utama dari situasi ini adalah bahwa sebagian besar orang kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang batas untuk belajar cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan mencoba menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti saat masuk ke dompet. Ketika Anda ingin menukar token di suatu DEX, Anda perlu menghubungkan dompet terlebih dahulu, dan pada saat itu Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan menghasilkan data atau perubahan status di blockchain, jadi tidak perlu membayar biaya.
Interaksi terjadi saat pertukaran token dilakukan secara nyata. Anda perlu membayar biaya terlebih dahulu, memberi tahu kontrak pintar: "Saya menyetujui Anda untuk menggunakan 100USDT saya", langkah ini disebut otorisasi (approve). Kemudian, Anda juga perlu membayar biaya lain, memberi tahu kontrak pintar: "Sekarang silakan lakukan operasi pertukaran", sehingga transaksi selesai.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga cara phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode penipuan paling klasik di Web3. Hacker akan membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, antarmuka dompet yang muncul setelah pengguna mengkliknya adalah untuk memberikan izin kepada alamat hacker untuk menggunakan token pengguna. Setelah pengguna mengonfirmasi, hacker dapat berhasil mencuri aset.
Namun, phishing berizin memiliki kelemahan: karena membutuhkan biaya Gas, banyak pengguna menjadi lebih waspada saat melakukan operasi keuangan, sehingga relatif mudah untuk dicegah.
Phishing tanda tangan Permit dan Permit2 saat ini merupakan zona berbahaya bagi keamanan aset Web3. Dua metode ini sulit untuk dicegah karena pengguna harus terlebih dahulu menandatangani untuk masuk ke dompet saat menggunakan DApp. Banyak orang telah membentuk pola pikir "tindakan ini aman", ditambah lagi tidak perlu membayar biaya, dan sebagian besar orang tidak memahami makna di balik setiap tanda tangan.
Mekanisme Permit adalah fitur tambahan dari otorisasi di bawah standar ERC-20. Sederhananya, Anda dapat memberikan izin kepada orang lain untuk menggunakan token Anda melalui tanda tangan. Berbeda dengan otorisasi (Approve), Permit adalah Anda menandatangani sebuah "catatan", yang memungkinkan seseorang untuk menggunakan token Anda. Orang yang memegang "catatan" ini dapat membayar biaya Gas kepada kontrak pintar, memberi tahu kontrak: "dia mengizinkan saya menggunakan tokennya", sehingga memindahkan aset Anda. Dalam proses ini, Anda hanya menandatangani, tetapi sebenarnya mengizinkan orang lain untuk memanggil otorisasi (Approve) dan memindahkan token Anda.
Permit2 bukanlah fungsi ERC-20, melainkan fitur yang diperkenalkan oleh beberapa DEX untuk memudahkan pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi jumlah besar sekaligus kepada kontrak pintar Permit2, sehingga setiap transaksi berikutnya hanya perlu tanda tangan tanpa perlu otorisasi ulang. Ini dapat menghemat biaya Gas pengguna, tetapi juga meningkatkan risiko keamanan.
Untuk mencegah phishing tanda tangan, kita dapat mengambil langkah-langkah berikut:
Kembangkan kesadaran keamanan, periksa dengan teliti konten operasi setiap kali melakukan operasi dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat tanda tangan yang berisi informasi berikut, waspadalah:
Dengan memahami logika dasar ini dan mengambil langkah pencegahan yang sesuai, kita dapat lebih baik melindungi keamanan aset Web3 kita.