Analisis Metode Serangan Pancingan Web3: Logika Dasar Pancingan Tanda Tangan dan Langkah-langkah Pencegahan
Belakangan ini, "phishing tanda tangan" telah menjadi salah satu metode serangan favorit para peretas Web3. Meskipun para ahli di industri dan berbagai perusahaan dompet serta keamanan terus mengkampanyekan pengetahuan terkait, masih banyak pengguna yang terjebak. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar orang tentang logika dasar interaksi dompet, sedangkan bagi non-teknisi, ambang belajar cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua operasi dasar saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti masuk ke dompet. Misalnya, ketika Anda ingin menukar token di suatu DEX, Anda perlu terlebih dahulu menghubungkan dompet, dan pada saat itu Anda perlu memberikan tanda tangan untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Sebaliknya, interaksi melibatkan operasi on-chain yang nyata. Misalnya, ketika Anda melakukan pertukaran token di DEX tertentu, pertama-tama Anda perlu membayar biaya untuk memberikan izin kepada kontrak pintar untuk mengoperasikan token Anda (yaitu operasi approve), kemudian membayar biaya lain untuk melakukan operasi pertukaran yang sebenarnya.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode phishing Web3 klasik yang memanfaatkan mekanisme otorisasi (approve). Hacker mungkin akan membuat situs phishing yang menyamar sebagai proyek NFT, yang memicu pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan meminta pengguna untuk mengizinkan token mereka ke alamat hacker. Namun, karena tindakan ini memerlukan biaya Gas, banyak pengguna menjadi lebih waspada ketika menghadapi tindakan yang memerlukan uang, sehingga relatif lebih mudah untuk dihindari.
Serangan phishing menggunakan Permit dan Permit2 adalah area yang sangat berbahaya bagi keamanan aset Web3 saat ini. Kedua metode ini sulit untuk dihindari karena pengguna biasanya perlu menandatangani untuk masuk ke dompet sebelum menggunakan DApp, yang mungkin telah membentuk pemikiran "aman" yang sudah menjadi kebiasaan. Ditambah lagi, penandatanganan tidak memerlukan biaya, dan sebagian besar pengguna tidak memahami arti di balik setiap tanda tangan, menjadikan serangan phishing semacam ini semakin berbahaya.
Permit adalah fitur ekstensi yang diotorisasi di bawah standar ERC-20. Secara sederhana, ini memungkinkan pengguna untuk menyetujui orang lain untuk mengelola token mereka melalui tanda tangan. Para hacker dapat memancing pengguna untuk menandatangani Permit melalui situs web phishing, sehingga mendapatkan izin untuk mengelola aset pengguna.
Permit2 adalah fitur yang diperkenalkan oleh suatu DEX untuk meningkatkan pengalaman pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekaligus kepada kontrak pintar Permit2, sehingga setiap transaksi selanjutnya hanya memerlukan tanda tangan tanpa perlu otorisasi ulang. Namun, ini juga memberikan kesempatan bagi peretas.
Untuk mencegah serangan phishing ini, kami menyarankan:
Kembangkan kesadaran keamanan, selalu periksa dengan cermat konten spesifik dari setiap operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat permintaan tanda tangan yang berisi informasi berikut, pastikan untuk tetap waspada:
Interaktif:alamat interaksi
Pemilik:Alamat Pemberi Wewenang
Spender: Alamat pihak yang diberi kuasa
Nilai:Jumlah yang diberikan
Nonce:angka acak
Deadline:Batas waktu
Dengan memahami prinsip-prinsip serangan phishing ini dan langkah-langkah pencegahannya, kita dapat lebih baik melindungi aset digital kita dan menjelajahi serta berinteraksi dengan aman di dunia Web3.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
18 Suka
Hadiah
18
5
Bagikan
Komentar
0/400
ApeEscapeArtist
· 19jam yang lalu
Suckers lagi yang terjebak, kan?
Lihat AsliBalas0
GateUser-40edb63b
· 19jam yang lalu
Jadi ini tentang penipuan tanda tangan, ya?
Lihat AsliBalas0
pvt_key_collector
· 19jam yang lalu
Wah, sekali lagi terjebak.
Lihat AsliBalas0
MissedAirdropBro
· 19jam yang lalu
bukan dicuri atau alamat ditandai, sangat menjengkelkan
Lihat AsliBalas0
ForkItAll
· 19jam yang lalu
"Suckers yang sudah bergabung selama dua setengah tahun"
Analisis Serangan Phishing Tanda Tangan Web3: Panduan Lengkap tentang Logika Dasar dan Langkah-langkah Pencegahan
Analisis Metode Serangan Pancingan Web3: Logika Dasar Pancingan Tanda Tangan dan Langkah-langkah Pencegahan
Belakangan ini, "phishing tanda tangan" telah menjadi salah satu metode serangan favorit para peretas Web3. Meskipun para ahli di industri dan berbagai perusahaan dompet serta keamanan terus mengkampanyekan pengetahuan terkait, masih banyak pengguna yang terjebak. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar orang tentang logika dasar interaksi dompet, sedangkan bagi non-teknisi, ambang belajar cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua operasi dasar saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti masuk ke dompet. Misalnya, ketika Anda ingin menukar token di suatu DEX, Anda perlu terlebih dahulu menghubungkan dompet, dan pada saat itu Anda perlu memberikan tanda tangan untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Sebaliknya, interaksi melibatkan operasi on-chain yang nyata. Misalnya, ketika Anda melakukan pertukaran token di DEX tertentu, pertama-tama Anda perlu membayar biaya untuk memberikan izin kepada kontrak pintar untuk mengoperasikan token Anda (yaitu operasi approve), kemudian membayar biaya lain untuk melakukan operasi pertukaran yang sebenarnya.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode phishing Web3 klasik yang memanfaatkan mekanisme otorisasi (approve). Hacker mungkin akan membuat situs phishing yang menyamar sebagai proyek NFT, yang memicu pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan meminta pengguna untuk mengizinkan token mereka ke alamat hacker. Namun, karena tindakan ini memerlukan biaya Gas, banyak pengguna menjadi lebih waspada ketika menghadapi tindakan yang memerlukan uang, sehingga relatif lebih mudah untuk dihindari.
Serangan phishing menggunakan Permit dan Permit2 adalah area yang sangat berbahaya bagi keamanan aset Web3 saat ini. Kedua metode ini sulit untuk dihindari karena pengguna biasanya perlu menandatangani untuk masuk ke dompet sebelum menggunakan DApp, yang mungkin telah membentuk pemikiran "aman" yang sudah menjadi kebiasaan. Ditambah lagi, penandatanganan tidak memerlukan biaya, dan sebagian besar pengguna tidak memahami arti di balik setiap tanda tangan, menjadikan serangan phishing semacam ini semakin berbahaya.
Permit adalah fitur ekstensi yang diotorisasi di bawah standar ERC-20. Secara sederhana, ini memungkinkan pengguna untuk menyetujui orang lain untuk mengelola token mereka melalui tanda tangan. Para hacker dapat memancing pengguna untuk menandatangani Permit melalui situs web phishing, sehingga mendapatkan izin untuk mengelola aset pengguna.
Permit2 adalah fitur yang diperkenalkan oleh suatu DEX untuk meningkatkan pengalaman pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekaligus kepada kontrak pintar Permit2, sehingga setiap transaksi selanjutnya hanya memerlukan tanda tangan tanpa perlu otorisasi ulang. Namun, ini juga memberikan kesempatan bagi peretas.
Untuk mencegah serangan phishing ini, kami menyarankan:
Kembangkan kesadaran keamanan, selalu periksa dengan cermat konten spesifik dari setiap operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Ketika Anda melihat permintaan tanda tangan yang berisi informasi berikut, pastikan untuk tetap waspada:
Dengan memahami prinsip-prinsip serangan phishing ini dan langkah-langkah pencegahannya, kita dapat lebih baik melindungi aset digital kita dan menjelajahi serta berinteraksi dengan aman di dunia Web3.