Ilustrasi Prinsip Phishing Tanda Tangan Web3: Otorisasi, Permit, dan Permit2
Penipuan tanda tangan semakin menjadi salah satu metode yang paling umum digunakan oleh peretas Web3. Meskipun para ahli keamanan terus mempromosikan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar orang tentang logika dasar interaksi dompet, serta tingginya ambang pembelajaran bagi orang non-teknis.
Oleh karena itu, kami akan menjelaskan prinsip dasar dari phishing tanda tangan secara mendalam dengan cara yang mudah dipahami, berusaha menggunakan bahasa yang paling sederhana sehingga pengguna biasa juga dapat memahami risikonya.
Pertama, kita perlu memahami dua operasi dasar saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Skenario khas dari penandatanganan adalah otentikasi, seperti masuk ke suatu aplikasi terdesentralisasi (DApp). Misalnya, ketika Anda ingin menukar token di DEX tertentu, Anda perlu menghubungkan dompet dan menandatangani terlebih dahulu, untuk membuktikan kepada situs web "Saya pemilik dompet ini". Proses ini tidak akan mengubah data atau status apa pun di blockchain, sehingga tidak perlu membayar biaya.
Sebagai perbandingan, interaksi melibatkan operasi di blockchain yang sebenarnya. Mengambil contoh menukar token di suatu DEX, Anda perlu membayar biaya terlebih dahulu, memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda (langkah ini disebut "otorisasi" atau "approve"). Kemudian, Anda juga perlu membayar biaya lain untuk melakukan operasi pertukaran yang sebenarnya.
Setelah memahami konsep dasar ini, mari kita lihat beberapa cara pishing yang umum:
Phishing Berbasis Otorisasi:
Ini adalah metode phishing Web3 tradisional. Hacker akan membuat situs web yang tampak seperti proyek NFT yang indah, menggoda pengguna untuk mengklik tombol "klaim airdrop" dan sebagainya. Sebenarnya, setelah pengguna mengklik, mereka akan diminta untuk memberikan otorisasi token mereka kepada alamat hacker. Begitu pengguna mengonfirmasi, hacker dapat mengambil kendali atas aset mereka.
Namun, karena phishing yang berwenang memerlukan biaya Gas, banyak pengguna menjadi lebih berhati-hati saat melakukan operasi keuangan, sehingga metode ini relatif lebih mudah untuk dihindari.
Phishing Tanda Tangan Permit:
Permit adalah fitur ekstensi otorisasi di bawah standar ERC-20. Ini memungkinkan pengguna untuk menyetujui orang lain untuk menggunakan token mereka melalui tanda tangan, tanpa perlu interaksi langsung di blockchain. Singkatnya, ini seperti menandatangani sebuah "surat" yang memungkinkan seseorang untuk menggunakan token Anda. Orang yang memegang "surat" ini dapat membuktikan otorisasi Anda kepada kontrak pintar, sehingga dapat mentransfer aset Anda.
Hacker dapat mengganti operasi koneksi dompet yang normal dengan phishing Permit melalui situs web palsu, menggoda pengguna untuk menandatangani, sehingga mendapatkan kontrol atas aset mereka.
Phishing tanda tangan Permit2:
Permit2 bukanlah fungsi standar ERC-20, melainkan fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan izin dalam jumlah besar sekaligus, setelah itu setiap transaksi hanya memerlukan tanda tangan, tanpa perlu otorisasi ulang. Ini dapat menghemat biaya Gas dan meningkatkan efisiensi transaksi.
Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan izin batasan tak terbatas (ini biasanya pengaturan default), mereka dapat menjadi target phising Permit2. Hacker hanya perlu memancing pengguna untuk menandatangani, dan mereka dapat mentransfer token yang telah diizinkan.
Untuk mencegah risiko phishing ini, pengguna harus:
Kembangkan kesadaran keamanan, periksa dengan cermat rincian spesifik setiap kali melakukan operasi dompet.
Pisahkan dana utama dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2, perhatikan khususnya permintaan tanda tangan yang mencakup bidang berikut:
Interaktif:alamat interaksi
Pemilik:alamat pihak yang memberikan otorisasi
Spender: Alamat pihak yang diberi kuasa
Nilai:Jumlah yang diberikan
Nonce:angka acak
Deadline:waktu kedaluwarsa
Dengan memahami prinsip dasar dan langkah-langkah pencegahan ini, pengguna dapat lebih baik melindungi aset digital mereka dan menghindari terjebak dalam jerat hacker.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Ilustrasi Prinsip Phishing Tanda Tangan Web3: Panduan Pencegahan untuk Otorisasi, Permit, dan Permit2
Ilustrasi Prinsip Phishing Tanda Tangan Web3: Otorisasi, Permit, dan Permit2
Penipuan tanda tangan semakin menjadi salah satu metode yang paling umum digunakan oleh peretas Web3. Meskipun para ahli keamanan terus mempromosikan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar orang tentang logika dasar interaksi dompet, serta tingginya ambang pembelajaran bagi orang non-teknis.
Oleh karena itu, kami akan menjelaskan prinsip dasar dari phishing tanda tangan secara mendalam dengan cara yang mudah dipahami, berusaha menggunakan bahasa yang paling sederhana sehingga pengguna biasa juga dapat memahami risikonya.
Pertama, kita perlu memahami dua operasi dasar saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Skenario khas dari penandatanganan adalah otentikasi, seperti masuk ke suatu aplikasi terdesentralisasi (DApp). Misalnya, ketika Anda ingin menukar token di DEX tertentu, Anda perlu menghubungkan dompet dan menandatangani terlebih dahulu, untuk membuktikan kepada situs web "Saya pemilik dompet ini". Proses ini tidak akan mengubah data atau status apa pun di blockchain, sehingga tidak perlu membayar biaya.
Sebagai perbandingan, interaksi melibatkan operasi di blockchain yang sebenarnya. Mengambil contoh menukar token di suatu DEX, Anda perlu membayar biaya terlebih dahulu, memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda (langkah ini disebut "otorisasi" atau "approve"). Kemudian, Anda juga perlu membayar biaya lain untuk melakukan operasi pertukaran yang sebenarnya.
Setelah memahami konsep dasar ini, mari kita lihat beberapa cara pishing yang umum:
Namun, karena phishing yang berwenang memerlukan biaya Gas, banyak pengguna menjadi lebih berhati-hati saat melakukan operasi keuangan, sehingga metode ini relatif lebih mudah untuk dihindari.
Hacker dapat mengganti operasi koneksi dompet yang normal dengan phishing Permit melalui situs web palsu, menggoda pengguna untuk menandatangani, sehingga mendapatkan kontrol atas aset mereka.
Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan izin batasan tak terbatas (ini biasanya pengaturan default), mereka dapat menjadi target phising Permit2. Hacker hanya perlu memancing pengguna untuk menandatangani, dan mereka dapat mentransfer token yang telah diizinkan.
Untuk mencegah risiko phishing ini, pengguna harus:
Dengan memahami prinsip dasar dan langkah-langkah pencegahan ini, pengguna dapat lebih baik melindungi aset digital mereka dan menghindari terjebak dalam jerat hacker.