Analisis Prinsip Phishing Tanda Tangan Web3: Perbedaan antara Otorisasi, Permit, dan Permit2
Di bidang Web3, "phishing tanda tangan" telah menjadi salah satu metode serangan yang paling umum digunakan oleh hacker. Meskipun para ahli keamanan dan perusahaan dompet terus melakukan edukasi, setiap hari masih banyak pengguna yang mengalami kerugian. Penyebab utamanya adalah karena sebagian besar pengguna kurang memahami logika dasar interaksi dompet, dan bagi non-teknisi, ambang batas untuk mempelajari pengetahuan ini cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami melalui ilustrasi.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, yang tidak memerlukan biaya Gas; sedangkan interaksi adalah operasi yang terjadi di dalam blockchain, yang memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk memverifikasi identitas, seperti masuk ke aplikasi terdesentralisasi (DApp). Proses ini tidak akan mengubah data blockchain, jadi tidak perlu membayar biaya. Sebaliknya, interaksi melibatkan operasi on-chain yang sebenarnya, seperti pertukaran token, yang memerlukan pembayaran biaya Gas.
Selanjutnya, kami akan memperkenalkan tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode serangan klasik yang memanfaatkan mekanisme otorisasi kontrak pintar. Hacker mungkin membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan memberikan izin kepada hacker untuk mengakses token milik pengguna. Namun, karena cara ini memerlukan biaya Gas, pengguna biasanya akan lebih waspada dan lebih mudah untuk mencegahnya.
Penipuan tanda tangan Permit dan Permit2 adalah masalah yang lebih rumit saat ini. Permit adalah fitur yang diperluas dari standar ERC-20, yang memungkinkan pengguna untuk memberikan izin kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Cara ini tidak memerlukan pembayaran biaya Gas secara langsung, sehingga pengguna mungkin secara tidak sengaja memberikan izin kepada peretas untuk mengelola aset mereka.
Permit2 adalah fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi ulang. Namun, ini juga memberikan kesempatan bagi peretas.
Untuk mencegah serangan ini, pengguna harus:
Kembangkan kesadaran keamanan, periksa dengan teliti sebelum setiap operasi.
Pisahkan dana besar dari dompet yang digunakan sehari-hari.
Pelajari cara mengenali format tanda tangan Permit dan Permit2, dan tetap waspada terhadap tanda tangan yang berisi informasi seperti alamat pihak yang memberikan otorisasi, alamat pihak yang diberi otorisasi, dan jumlah otorisasi.
Dengan memahami prinsip-prinsip ini dan mengambil langkah-langkah pencegahan yang sesuai, pengguna dapat lebih baik melindungi keamanan aset digital mereka.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis Lengkap Phishing Tanda Tangan Web3: Perangkap Keamanan Otorisasi, Permit, dan Permit2
Analisis Prinsip Phishing Tanda Tangan Web3: Perbedaan antara Otorisasi, Permit, dan Permit2
Di bidang Web3, "phishing tanda tangan" telah menjadi salah satu metode serangan yang paling umum digunakan oleh hacker. Meskipun para ahli keamanan dan perusahaan dompet terus melakukan edukasi, setiap hari masih banyak pengguna yang mengalami kerugian. Penyebab utamanya adalah karena sebagian besar pengguna kurang memahami logika dasar interaksi dompet, dan bagi non-teknisi, ambang batas untuk mempelajari pengetahuan ini cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami melalui ilustrasi.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, yang tidak memerlukan biaya Gas; sedangkan interaksi adalah operasi yang terjadi di dalam blockchain, yang memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk memverifikasi identitas, seperti masuk ke aplikasi terdesentralisasi (DApp). Proses ini tidak akan mengubah data blockchain, jadi tidak perlu membayar biaya. Sebaliknya, interaksi melibatkan operasi on-chain yang sebenarnya, seperti pertukaran token, yang memerlukan pembayaran biaya Gas.
Selanjutnya, kami akan memperkenalkan tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode serangan klasik yang memanfaatkan mekanisme otorisasi kontrak pintar. Hacker mungkin membuat situs phishing yang menyamar sebagai proyek NFT, menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan memberikan izin kepada hacker untuk mengakses token milik pengguna. Namun, karena cara ini memerlukan biaya Gas, pengguna biasanya akan lebih waspada dan lebih mudah untuk mencegahnya.
Penipuan tanda tangan Permit dan Permit2 adalah masalah yang lebih rumit saat ini. Permit adalah fitur yang diperluas dari standar ERC-20, yang memungkinkan pengguna untuk memberikan izin kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Cara ini tidak memerlukan pembayaran biaya Gas secara langsung, sehingga pengguna mungkin secara tidak sengaja memberikan izin kepada peretas untuk mengelola aset mereka.
Permit2 adalah fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi ulang. Namun, ini juga memberikan kesempatan bagi peretas.
Untuk mencegah serangan ini, pengguna harus:
Dengan memahami prinsip-prinsip ini dan mengambil langkah-langkah pencegahan yang sesuai, pengguna dapat lebih baik melindungi keamanan aset digital mereka.