Di dunia Web3, "phishing tanda tangan" menjadi metode penipuan baru yang disukai oleh Hacker. Meskipun para ahli keamanan dan perusahaan dompet terus menyebarluaskan pengetahuan terkait, setiap hari masih banyak pengguna yang terjebak. Salah satu alasan utama terjadinya hal ini adalah kurangnya pemahaman sebagian besar pengguna tentang mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar di bidang ini cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan prinsip phishing tanda tangan dengan cara yang sederhana dan mudah dipahami.
Pertama, kita perlu memahami bahwa operasi dompet dibagi menjadi dua kategori: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, tidak memerlukan biaya Gas; sedangkan interaksi dilakukan di dalam blockchain, memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti saat masuk ke dompet. Ketika Anda ingin menggunakan aplikasi desentralisasi (DApp), Anda perlu menandatangani terlebih dahulu untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi on-chain yang sebenarnya. Misalnya, ketika Anda ingin menukar token di suatu bursa terdesentralisasi (DEX), Anda pertama-tama perlu memberikan otorisasi kepada kontrak pintar DEX untuk menggunakan token Anda, yang disebut sebagai operasi "persetujuan" (approve). Setelah itu, Anda juga perlu berinteraksi lagi dengan kontrak untuk mengonfirmasi pelaksanaan operasi pertukaran. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode penipuan klasik. Hacker akan membuat situs web palsu, biasanya menyamar sebagai proyek NFT atau kegiatan airdrop. Ketika pengguna mengklik tombol "klaim airdrop" dan sebagainya, sebenarnya mereka mengizinkan alamat hacker untuk menggunakan token mereka sendiri. Karena tindakan ini memerlukan pembayaran biaya Gas, banyak pengguna menjadi waspada ketika melihat permintaan pembayaran di dompet mereka, sehingga memiliki kesempatan untuk menghindari penipuan.
Penipuan tanda tangan Permit dan Permit2 lebih tersembunyi dan lebih sulit untuk dicegah. Ini karena pengguna terbiasa melakukan operasi tanda tangan sebelum menggunakan DApp, sehingga sangat mudah untuk mengabaikan risikonya.
Permit adalah fitur ekstensi dari standar ERC-20, yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Berbeda dengan otorisasi tradisional, Permit tidak memerlukan pengguna untuk membayar biaya Gas. Hacker dapat memanfaatkan ini untuk membujuk pengguna menandatangani pesan yang tampaknya tidak berbahaya, padahal sebenarnya memberikan izin kepada hacker untuk memindahkan aset pengguna.
Permit2 adalah fitur yang diluncurkan oleh beberapa DEX untuk mengoptimalkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekali saja kepada kontrak Permit2, setelah itu setiap transaksi hanya perlu konfirmasi tanda tangan, tanpa perlu otorisasi ulang. Meskipun mekanisme ini nyaman, ia juga meningkatkan risiko phishing, terutama bagi mereka yang pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas.
Untuk mencegah phishing tanda tangan, pengguna harus:
Kembangkan kesadaran keamanan, periksa dengan cermat apa yang Anda lakukan setiap kali melakukan operasi.
Pisahkan dana utama dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2, dan waspadai saat menghadapi permintaan tanda tangan terkait.
Format tanda tangan biasanya mencakup informasi berikut:
Alamat interaksi
Alamat pihak yang memberikan otorisasi
Alamat pihak yang diberi kuasa
Jumlah yang diotorisasi
Angka acak
Waktu kedaluwarsa
Dengan memahami prinsip-prinsip ini dan mengambil langkah-langkah pencegahan yang tepat, pengguna dapat lebih baik melindungi aset digital mereka dan menghindari menjadi korban phishing tanda tangan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
4
Posting ulang
Bagikan
Komentar
0/400
GateUser-74b10196
· 13jam yang lalu
Kapan memberikan asuransi kepada suckers?
Lihat AsliBalas0
Ser_Liquidated
· 13jam yang lalu
Dianggap Bodoh lagi ya, sudah melihatnya dengan mata kepala sendiri.
Lihat AsliBalas0
ForkThisDAO
· 13jam yang lalu
Tanda tangan sudah, tetapi saya terkena Kupon Klip.
Lihat AsliBalas0
0xTherapist
· 14jam yang lalu
Tsk tsk, kehilangan lebih dari setengah kekayaan dalam waktu kurang dari satu menit.
Web3 Waspada: Phishing Tanda Tangan Menjadi Favorit Hacker Bagaimana Melindungi Diri
Memancing Tanda Tangan: Perangkap Favorit Hacker Web3
Di dunia Web3, "phishing tanda tangan" menjadi metode penipuan baru yang disukai oleh Hacker. Meskipun para ahli keamanan dan perusahaan dompet terus menyebarluaskan pengetahuan terkait, setiap hari masih banyak pengguna yang terjebak. Salah satu alasan utama terjadinya hal ini adalah kurangnya pemahaman sebagian besar pengguna tentang mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar di bidang ini cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan prinsip phishing tanda tangan dengan cara yang sederhana dan mudah dipahami.
Pertama, kita perlu memahami bahwa operasi dompet dibagi menjadi dua kategori: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, tidak memerlukan biaya Gas; sedangkan interaksi dilakukan di dalam blockchain, memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti saat masuk ke dompet. Ketika Anda ingin menggunakan aplikasi desentralisasi (DApp), Anda perlu menandatangani terlebih dahulu untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi on-chain yang sebenarnya. Misalnya, ketika Anda ingin menukar token di suatu bursa terdesentralisasi (DEX), Anda pertama-tama perlu memberikan otorisasi kepada kontrak pintar DEX untuk menggunakan token Anda, yang disebut sebagai operasi "persetujuan" (approve). Setelah itu, Anda juga perlu berinteraksi lagi dengan kontrak untuk mengonfirmasi pelaksanaan operasi pertukaran. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode penipuan klasik. Hacker akan membuat situs web palsu, biasanya menyamar sebagai proyek NFT atau kegiatan airdrop. Ketika pengguna mengklik tombol "klaim airdrop" dan sebagainya, sebenarnya mereka mengizinkan alamat hacker untuk menggunakan token mereka sendiri. Karena tindakan ini memerlukan pembayaran biaya Gas, banyak pengguna menjadi waspada ketika melihat permintaan pembayaran di dompet mereka, sehingga memiliki kesempatan untuk menghindari penipuan.
Penipuan tanda tangan Permit dan Permit2 lebih tersembunyi dan lebih sulit untuk dicegah. Ini karena pengguna terbiasa melakukan operasi tanda tangan sebelum menggunakan DApp, sehingga sangat mudah untuk mengabaikan risikonya.
Permit adalah fitur ekstensi dari standar ERC-20, yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Berbeda dengan otorisasi tradisional, Permit tidak memerlukan pengguna untuk membayar biaya Gas. Hacker dapat memanfaatkan ini untuk membujuk pengguna menandatangani pesan yang tampaknya tidak berbahaya, padahal sebenarnya memberikan izin kepada hacker untuk memindahkan aset pengguna.
Permit2 adalah fitur yang diluncurkan oleh beberapa DEX untuk mengoptimalkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekali saja kepada kontrak Permit2, setelah itu setiap transaksi hanya perlu konfirmasi tanda tangan, tanpa perlu otorisasi ulang. Meskipun mekanisme ini nyaman, ia juga meningkatkan risiko phishing, terutama bagi mereka yang pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas.
Untuk mencegah phishing tanda tangan, pengguna harus:
Format tanda tangan biasanya mencakup informasi berikut:
Dengan memahami prinsip-prinsip ini dan mengambil langkah-langkah pencegahan yang tepat, pengguna dapat lebih baik melindungi aset digital mereka dan menghindari menjadi korban phishing tanda tangan.