Analisis Teknik Phishing Tanda Tangan Web3: Dari Otorisasi ke Permit2
Baru-baru ini, "phishing tanda tangan" telah menjadi salah satu metode serangan yang paling disukai oleh peretas Web3. Meskipun para ahli keamanan dan perusahaan dompet terus menyebarkan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu alasan utama untuk situasi ini adalah bahwa sebagian besar pengguna kurang memahami logika dasar interaksi dompet, dan ambang belajar yang cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menganalisis logika dasar dari phishing tanda tangan Web3 dengan cara yang sederhana dan mudah dipahami, khususnya bagi pengguna yang tidak akrab dengan teknologi.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan ke DApp tertentu. Proses ini tidak akan memengaruhi blockchain, jadi tidak perlu membayar biaya. Sementara interaksi melibatkan operasi di blockchain secara nyata, seperti pertukaran token di DEX, yang memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa cara phishing yang umum:
Phishing yang Diberikan:
Ini adalah metode memancing klasik. Hacker akan membuat situs web palsu untuk menggoda pengguna melakukan operasi otorisasi. Ketika pengguna mengklik tombol seperti "klaim airdrop", mereka sebenarnya sedang memberikan otorisasi kepada alamat hacker untuk mengelola token mereka. Meskipun cara ini memerlukan pembayaran biaya Gas, masih ada pengguna yang akan terjebak.
Penandatanganan Izin Phishing:
Permit adalah fitur ekstensi dari standar ERC-20, yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Hacker dapat memanfaatkan mekanisme ini untuk menipu pengguna agar menandatangani pesan yang tampak tidak berbahaya, padahal sebenarnya memberikan izin kepada hacker untuk mentransfer aset pengguna dengan "surat".
Penipuan tanda tangan Permit2:
Permit2 adalah fitur yang diluncurkan oleh suatu DEX untuk menyederhanakan proses operasi pengguna. Namun, jika pengguna pernah memberikan otorisasi limit tak terbatas kepada kontrak Permit2, hacker dapat memanfaatkan hal ini untuk melakukan serangan phishing.
Untuk mencegah serangan phishing ini, pengguna dapat mengambil langkah-langkah berikut:
Tingkatkan kesadaran keamanan, selalu periksa dengan cermat setiap kali melakukan operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2, dan tetap waspada terhadap tanda tangan yang berisi alamat pihak yang memberi otorisasi, alamat pihak yang diberi otorisasi, jumlah otorisasi, dan informasi lainnya.
Secara keseluruhan, esensi dari penandatanganan phishing adalah untuk mengelabui pengguna agar menandatangani "surat" yang memungkinkan orang lain mengelola aset mereka. Memahami prinsip serangan ini dan tetap waspada sangat penting untuk melindungi aset digital Anda.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
21 Suka
Hadiah
21
10
Bagikan
Komentar
0/400
ProposalManiac
· 3jam yang lalu
Dua tahun terakhir, apakah para suckers ini tidak paham? Mereka langsung terjun tanpa mengerti tanda tangan.
Lihat AsliBalas0
GasFeeAssassin
· 6jam yang lalu
Sekali lagi dianggap bodoh
Lihat AsliBalas0
MEVHunterNoLoss
· 07-23 05:14
pemula benar-benar sangat malang
Lihat AsliBalas0
AirdropBlackHole
· 07-22 06:08
Pemula masih diperas?
Lihat AsliBalas0
BearMarketHustler
· 07-22 06:07
Sekali lagi, paket besar pemotongan para suckers.
Lihat AsliBalas0
ForkTrooper
· 07-22 06:07
Sungguh banyak suckers yang menunggu untuk dimainkan.
Lihat AsliBalas0
MonkeySeeMonkeyDo
· 07-22 06:05
Jangan terjebak, tandatangani dengan tenang
Lihat AsliBalas0
DefiOldTrickster
· 07-22 05:59
Saya sudah pernah bermain dengan jebakan ini. Jujur saja, lebih baik membuka posisi tanpa perlindungan.
Lihat AsliBalas0
GateUser-40edb63b
· 07-22 05:57
Masih ada beberapa suckers yang belum dipermainkan.
Lihat AsliBalas0
BlockDetective
· 07-22 05:52
Melihatnya saja sudah tidak berani untuk menandatangani.
Analisis Lengkap Phishing Tanda Tangan Web3: Dari Perangkap Otorisasi Hingga Risiko Permit2
Analisis Teknik Phishing Tanda Tangan Web3: Dari Otorisasi ke Permit2
Baru-baru ini, "phishing tanda tangan" telah menjadi salah satu metode serangan yang paling disukai oleh peretas Web3. Meskipun para ahli keamanan dan perusahaan dompet terus menyebarkan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu alasan utama untuk situasi ini adalah bahwa sebagian besar pengguna kurang memahami logika dasar interaksi dompet, dan ambang belajar yang cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menganalisis logika dasar dari phishing tanda tangan Web3 dengan cara yang sederhana dan mudah dipahami, khususnya bagi pengguna yang tidak akrab dengan teknologi.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan ke DApp tertentu. Proses ini tidak akan memengaruhi blockchain, jadi tidak perlu membayar biaya. Sementara interaksi melibatkan operasi di blockchain secara nyata, seperti pertukaran token di DEX, yang memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa cara phishing yang umum:
Penandatanganan Izin Phishing: Permit adalah fitur ekstensi dari standar ERC-20, yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Hacker dapat memanfaatkan mekanisme ini untuk menipu pengguna agar menandatangani pesan yang tampak tidak berbahaya, padahal sebenarnya memberikan izin kepada hacker untuk mentransfer aset pengguna dengan "surat".
Penipuan tanda tangan Permit2: Permit2 adalah fitur yang diluncurkan oleh suatu DEX untuk menyederhanakan proses operasi pengguna. Namun, jika pengguna pernah memberikan otorisasi limit tak terbatas kepada kontrak Permit2, hacker dapat memanfaatkan hal ini untuk melakukan serangan phishing.
Untuk mencegah serangan phishing ini, pengguna dapat mengambil langkah-langkah berikut:
Secara keseluruhan, esensi dari penandatanganan phishing adalah untuk mengelabui pengguna agar menandatangani "surat" yang memungkinkan orang lain mengelola aset mereka. Memahami prinsip serangan ini dan tetap waspada sangat penting untuk melindungi aset digital Anda.