Belakangan ini, "phishing tanda tangan" menjadi metode penipuan yang paling umum digunakan oleh peretas Web3. Meskipun para ahli industri terus mempromosikan pengetahuan pencegahan, banyak pengguna masih terjebak. Ini terutama karena sebagian besar orang kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar yang cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan prinsip phishing tanda tangan secara rinci melalui ilustrasi, dan berusaha menggunakan bahasa yang sederhana dan mudah dipahami.
Pertama-tama, kita perlu memahami bahwa operasi dompet terutama dibagi menjadi dua kategori: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan ke aplikasi terdesentralisasi (DApp) tertentu. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi blockchain yang sebenarnya. Misalnya, ketika Anda ingin menukar token di DEX tertentu, Anda perlu memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda (disebut sebagai operasi "approve"), kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami konsep dasar ini, mari kita lihat tiga jenis umum phishing: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang Diberikan:
Ini adalah metode memancing klasik. Hacker akan membuat situs web yang menyamar sebagai proyek yang sah, menggoda pengguna untuk mengklik tombol "klaim airdrop" dan sejenisnya. Sebenarnya, setelah pengguna mengklik, mereka akan diminta untuk memberikan izin untuk mentransfer token mereka ke alamat hacker. Karena operasi ini memerlukan pembayaran biaya Gas, sekarang banyak pengguna yang menjadi lebih waspada saat menghadapi operasi yang memerlukan pengeluaran uang, sehingga metode ini relatif mudah untuk dihindari.
Penipuan tanda tangan Permit:
Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna untuk memberikan izin kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Cara ini tidak memerlukan pembayaran biaya Gas secara langsung, sehingga lebih mudah membuat pengguna merasa santai. Hacker dapat membuat situs phishing yang menggantikan operasi login normal dengan permintaan tanda tangan Permit, sehingga mendapatkan izin untuk memindahkan aset pengguna.
Phishing Tanda Tangan Permit2:
Permit2 adalah fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekaligus, setelah itu mereka hanya perlu menandatangani untuk melakukan transaksi, menghilangkan kerepotan harus memberikan otorisasi sebelum setiap transaksi. Namun, ini juga memberikan jalan baru bagi peretas untuk menyerang. Jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas, maka peretas hanya perlu menipu satu tanda tangan untuk memindahkan aset pengguna.
Untuk mencegah serangan phishing ini, kami menyarankan:
Kembangkan kesadaran keamanan, selalu periksa dengan cermat operasi yang sebenarnya dilakukan setiap kali melakukan operasi dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat permintaan tanda tangan yang berisi informasi berikut, harap waspada:
Interaktif(交互网址)
Pemilik(Alamat Pemberi Kuasa)
Spender (alamat pihak yang diberi kuasa)
Nilai(Jumlah yang diotorisasi)
Nonce (angka acak)
Tenggat waktu(过期时间)
Dengan memahami prinsip dan metode pencegahan teknik phishing ini, kita dapat melindungi keamanan aset digital kita dengan lebih baik. Di dunia Web3, tetap waspada dan terus belajar adalah hal yang sangat penting.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
4
Posting ulang
Bagikan
Komentar
0/400
BasementAlchemist
· 08-12 17:27
Aduh, masih dianggap bodoh.
Lihat AsliBalas0
GasGuzzler
· 08-12 17:24
Tanda tangan itu adalah jebakan.
Lihat AsliBalas0
CountdownToBroke
· 08-12 17:21
Tanda tangan? Terpikir tentang 13u yang sebelumnya saya ditipu...
Prinsip dan Panduan Pencegahan Serangan Phishing Tanda Tangan Web3
Analisis Logika Dasar Phishing Tanda Tangan Web3
Belakangan ini, "phishing tanda tangan" menjadi metode penipuan yang paling umum digunakan oleh peretas Web3. Meskipun para ahli industri terus mempromosikan pengetahuan pencegahan, banyak pengguna masih terjebak. Ini terutama karena sebagian besar orang kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar yang cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan prinsip phishing tanda tangan secara rinci melalui ilustrasi, dan berusaha menggunakan bahasa yang sederhana dan mudah dipahami.
Pertama-tama, kita perlu memahami bahwa operasi dompet terutama dibagi menjadi dua kategori: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan ke aplikasi terdesentralisasi (DApp) tertentu. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi blockchain yang sebenarnya. Misalnya, ketika Anda ingin menukar token di DEX tertentu, Anda perlu memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda (disebut sebagai operasi "approve"), kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami konsep dasar ini, mari kita lihat tiga jenis umum phishing: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Untuk mencegah serangan phishing ini, kami menyarankan:
Kembangkan kesadaran keamanan, selalu periksa dengan cermat operasi yang sebenarnya dilakukan setiap kali melakukan operasi dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat permintaan tanda tangan yang berisi informasi berikut, harap waspada:
Dengan memahami prinsip dan metode pencegahan teknik phishing ini, kita dapat melindungi keamanan aset digital kita dengan lebih baik. Di dunia Web3, tetap waspada dan terus belajar adalah hal yang sangat penting.