Banyak pengguna mengalami kebingungan saat berinteraksi dengan dompet: "Saya hanya menandatangani, mengapa dana saya menghilang?" "Phishing tanda tangan" ini menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus memperingatkan pengguna untuk tetap waspada, masih banyak pengguna yang terjebak setiap harinya.
Salah satu penyebab utama situasi ini adalah sebagian besar pengguna kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknis, ambang pembelajaran cukup tinggi. Oleh karena itu, kami memutuskan untuk menjelaskan prinsip phishing tanda tangan dengan cara yang terilustrasi dan berusaha menggunakan bahasa yang sederhana agar pengguna biasa juga dapat memahaminya.
Pertama-tama, kita perlu memahami bahwa saat menggunakan dompet, hanya ada dua jenis operasi: "tanda tangan" dan "interaksi". Pemahaman yang paling sederhana adalah: tanda tangan terjadi di luar blockchain ( di luar rantai ), tidak perlu membayar biaya Gas; sedangkan interaksi terjadi di dalam blockchain ( di dalam rantai ), perlu membayar biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi identitas, seperti saat masuk ke dompet. Ketika Anda ingin menukar token di DEX, Anda perlu menghubungkan dompet terlebih dahulu, dan pada saat itu Anda perlu tanda tangan untuk membuktikan "saya adalah pemilik dompet ini". Proses ini tidak akan menghasilkan data atau perubahan status di blockchain, sehingga tidak perlu mengeluarkan biaya.
Dan interaksi adalah ketika Anda benar-benar ingin menukar token di DEX, Anda perlu membayar biaya untuk memberi tahu kontrak pintar DEX: "Saya ingin menukar 100USDT untuk satu token, saya memberi wewenang kepada Anda untuk memindahkan 100USDT saya". Langkah ini disebut sebagai otorisasi (approve). Kemudian Anda juga harus membayar biaya lagi untuk memberi tahu kontrak pintar: "Saya sekarang ingin menukar 100USDT untuk satu token, Anda dapat melakukan operasi sekarang". Dengan demikian, Anda telah menyelesaikan transaksi menukar 100USDT untuk satu token.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode phishing paling klasik di Web3. Para hacker akan membuat situs web palsu yang menyamar sebagai proyek NFT, dengan tombol "klaim airdrop" yang mencolok. Ketika pengguna mengkliknya, antarmuka dompet yang muncul sebenarnya meminta pengguna untuk memberikan izin untuk mentransfer token ke alamat hacker. Jika pengguna mengonfirmasi tindakan ini, hacker berhasil menyelesaikan penipuan.
Namun, phishing yang diotorisasi memiliki satu kelemahan: karena perlu membayar biaya Gas, saat ini banyak pengguna menjadi lebih berhati-hati dalam operasi yang melibatkan dana, dan sedikit perhatian pada situs yang tidak dikenal dapat mengungkapkan keanehan.
Selanjutnya adalah penipuan tanda tangan Permit dan Permit2, yang merupakan zona bencana keamanan aset Web3 saat ini. Sulit untuk mencegahnya karena setiap kali menggunakan DApp, pengguna perlu menandatangani untuk masuk ke dompet, banyak pengguna telah terbentuk pola pikir "tindakan ini aman". Ditambah lagi, tidak perlu membayar biaya, serta sebagian besar orang tidak memahami makna di balik setiap tanda tangan, menjadikan metode penipuan ini sangat berbahaya.
Permit adalah fitur ekstensi yang diotorisasi di bawah standar ERC-20. Secara sederhana, ini berarti kamu dapat memberikan persetujuan kepada orang lain untuk memindahkan tokenmu melalui tanda tangan. Berbeda dengan (Approve) yang memerlukan biaya untuk otorisasi, Permit setara dengan kamu menandatangani "surat" yang mengizinkan seseorang untuk memindahkan tokenmu. Kemudian orang ini membawa "surat" tersebut ke kontrak pintar, membayar biaya Gas dan memberi tahu kontrak: "Dia mengizinkan saya untuk memindahkan tokennya". Dalam proses ini, kamu hanya menandatangani nama, tetapi sebenarnya kamu telah mengizinkan orang lain untuk memanggil otorisasi dan mentransfer tokenmu.
Permit2 bukanlah fungsi ERC-20, melainkan fungsi yang diluncurkan oleh DEX tertentu untuk memudahkan pengguna. Tujuannya adalah untuk memungkinkan pengguna memberikan otorisasi besar sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan, tanpa perlu otorisasi ulang. Dengan cara ini, pengguna hanya perlu membayar biaya Gas sekali untuk setiap transaksi, dan biaya ini dibayarkan oleh kontrak Permit2, yang pada akhirnya akan dipotong dari token yang ditukarkan.
Namun, pra syarat untuk phishing Permit2 adalah bahwa pengguna pernah menggunakan DEX tersebut dan telah memberikan batasan tak terbatas kepada kontrak pintar Permit2. Karena saat ini operasi default DEX tersebut adalah otorisasi batas tak terbatas, maka jumlah pengguna yang memenuhi syarat ini cukup banyak.
Secara singkat, esensi phishing otorisasi adalah Anda membayar biaya untuk memberi tahu kontrak pintar: "Saya menyetujui Anda untuk mentransfer token saya kepada peretas". Esensi phishing tanda tangan adalah Anda menandatangani sebuah "surat" yang mengizinkan orang lain untuk memindahkan aset Anda kepada peretas, dan peretas kemudian membayar biaya untuk memberi tahu kontrak pintar: "Saya ingin mentransfer tokennya kepada saya".
Jadi, bagaimana cara mencegah serangan phishing ini?
Membangun kesadaran akan keamanan sangat penting. Setiap kali melakukan operasi dompet, pastikan untuk memeriksa dengan cermat apa yang sedang Anda lakukan.
Pisahkan dana besar dan dompet yang digunakan sehari-hari, sehingga bahkan jika terkena phishing, kerugian dapat diminimalkan.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat tanda tangan yang berisi informasi berikut, Anda harus waspada:
Interaktif:alamat interaksi
Pemilik:Alamat pihak yang memberikan otorisasi
Spender: Alamat pihak yang diberi kuasa
Nilai:Jumlah yang diberikan
Nonce:angka acak
Deadline:waktu kedaluwarsa
Dengan memahami logika dasar dan langkah-langkah pencegahan ini, pengguna dapat lebih baik melindungi aset digital mereka dan menghindari menjadi korban phishing tanda tangan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
6
Bagikan
Komentar
0/400
PoetryOnChain
· 07-17 15:03
Sekali lagi, para suckers telah dicukur.
Lihat AsliBalas0
SchrodingerWallet
· 07-16 16:37
Rata-rata suckers menunggu untuk disembelih...
Lihat AsliBalas0
PensionDestroyer
· 07-14 18:57
Yang pernah tertipu angkat tangan! Siapa yang mengerti
Lihat AsliBalas0
RugDocScientist
· 07-14 18:54
Tanda tangan hanya untuk kesepian
Lihat AsliBalas0
GhostAddressMiner
· 07-14 18:48
Gelombang lain dari aliran dana para suckers akan saya lacak.
Lihat AsliBalas0
GasGrillMaster
· 07-14 18:37
Menandatangani beberapa kontrak tapi tidak bisa menangis.
Web3 Tanda Tangan Phishing Decrypt: Analisis Prinsip dan Panduan Pencegahan
Analisis Logika Dasar Phishing Tanda Tangan Web3
Banyak pengguna mengalami kebingungan saat berinteraksi dengan dompet: "Saya hanya menandatangani, mengapa dana saya menghilang?" "Phishing tanda tangan" ini menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus memperingatkan pengguna untuk tetap waspada, masih banyak pengguna yang terjebak setiap harinya.
Salah satu penyebab utama situasi ini adalah sebagian besar pengguna kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknis, ambang pembelajaran cukup tinggi. Oleh karena itu, kami memutuskan untuk menjelaskan prinsip phishing tanda tangan dengan cara yang terilustrasi dan berusaha menggunakan bahasa yang sederhana agar pengguna biasa juga dapat memahaminya.
Pertama-tama, kita perlu memahami bahwa saat menggunakan dompet, hanya ada dua jenis operasi: "tanda tangan" dan "interaksi". Pemahaman yang paling sederhana adalah: tanda tangan terjadi di luar blockchain ( di luar rantai ), tidak perlu membayar biaya Gas; sedangkan interaksi terjadi di dalam blockchain ( di dalam rantai ), perlu membayar biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi identitas, seperti saat masuk ke dompet. Ketika Anda ingin menukar token di DEX, Anda perlu menghubungkan dompet terlebih dahulu, dan pada saat itu Anda perlu tanda tangan untuk membuktikan "saya adalah pemilik dompet ini". Proses ini tidak akan menghasilkan data atau perubahan status di blockchain, sehingga tidak perlu mengeluarkan biaya.
Dan interaksi adalah ketika Anda benar-benar ingin menukar token di DEX, Anda perlu membayar biaya untuk memberi tahu kontrak pintar DEX: "Saya ingin menukar 100USDT untuk satu token, saya memberi wewenang kepada Anda untuk memindahkan 100USDT saya". Langkah ini disebut sebagai otorisasi (approve). Kemudian Anda juga harus membayar biaya lagi untuk memberi tahu kontrak pintar: "Saya sekarang ingin menukar 100USDT untuk satu token, Anda dapat melakukan operasi sekarang". Dengan demikian, Anda telah menyelesaikan transaksi menukar 100USDT untuk satu token.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita perkenalkan tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode phishing paling klasik di Web3. Para hacker akan membuat situs web palsu yang menyamar sebagai proyek NFT, dengan tombol "klaim airdrop" yang mencolok. Ketika pengguna mengkliknya, antarmuka dompet yang muncul sebenarnya meminta pengguna untuk memberikan izin untuk mentransfer token ke alamat hacker. Jika pengguna mengonfirmasi tindakan ini, hacker berhasil menyelesaikan penipuan.
Namun, phishing yang diotorisasi memiliki satu kelemahan: karena perlu membayar biaya Gas, saat ini banyak pengguna menjadi lebih berhati-hati dalam operasi yang melibatkan dana, dan sedikit perhatian pada situs yang tidak dikenal dapat mengungkapkan keanehan.
Selanjutnya adalah penipuan tanda tangan Permit dan Permit2, yang merupakan zona bencana keamanan aset Web3 saat ini. Sulit untuk mencegahnya karena setiap kali menggunakan DApp, pengguna perlu menandatangani untuk masuk ke dompet, banyak pengguna telah terbentuk pola pikir "tindakan ini aman". Ditambah lagi, tidak perlu membayar biaya, serta sebagian besar orang tidak memahami makna di balik setiap tanda tangan, menjadikan metode penipuan ini sangat berbahaya.
Permit adalah fitur ekstensi yang diotorisasi di bawah standar ERC-20. Secara sederhana, ini berarti kamu dapat memberikan persetujuan kepada orang lain untuk memindahkan tokenmu melalui tanda tangan. Berbeda dengan (Approve) yang memerlukan biaya untuk otorisasi, Permit setara dengan kamu menandatangani "surat" yang mengizinkan seseorang untuk memindahkan tokenmu. Kemudian orang ini membawa "surat" tersebut ke kontrak pintar, membayar biaya Gas dan memberi tahu kontrak: "Dia mengizinkan saya untuk memindahkan tokennya". Dalam proses ini, kamu hanya menandatangani nama, tetapi sebenarnya kamu telah mengizinkan orang lain untuk memanggil otorisasi dan mentransfer tokenmu.
Permit2 bukanlah fungsi ERC-20, melainkan fungsi yang diluncurkan oleh DEX tertentu untuk memudahkan pengguna. Tujuannya adalah untuk memungkinkan pengguna memberikan otorisasi besar sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan, tanpa perlu otorisasi ulang. Dengan cara ini, pengguna hanya perlu membayar biaya Gas sekali untuk setiap transaksi, dan biaya ini dibayarkan oleh kontrak Permit2, yang pada akhirnya akan dipotong dari token yang ditukarkan.
Namun, pra syarat untuk phishing Permit2 adalah bahwa pengguna pernah menggunakan DEX tersebut dan telah memberikan batasan tak terbatas kepada kontrak pintar Permit2. Karena saat ini operasi default DEX tersebut adalah otorisasi batas tak terbatas, maka jumlah pengguna yang memenuhi syarat ini cukup banyak.
Secara singkat, esensi phishing otorisasi adalah Anda membayar biaya untuk memberi tahu kontrak pintar: "Saya menyetujui Anda untuk mentransfer token saya kepada peretas". Esensi phishing tanda tangan adalah Anda menandatangani sebuah "surat" yang mengizinkan orang lain untuk memindahkan aset Anda kepada peretas, dan peretas kemudian membayar biaya untuk memberi tahu kontrak pintar: "Saya ingin mentransfer tokennya kepada saya".
Jadi, bagaimana cara mencegah serangan phishing ini?
Membangun kesadaran akan keamanan sangat penting. Setiap kali melakukan operasi dompet, pastikan untuk memeriksa dengan cermat apa yang sedang Anda lakukan.
Pisahkan dana besar dan dompet yang digunakan sehari-hari, sehingga bahkan jika terkena phishing, kerugian dapat diminimalkan.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat tanda tangan yang berisi informasi berikut, Anda harus waspada:
Dengan memahami logika dasar dan langkah-langkah pencegahan ini, pengguna dapat lebih baik melindungi aset digital mereka dan menghindari menjadi korban phishing tanda tangan.