Logika dasar phishing tanda tangan Web3: Otorisasi, Permit, dan Permit2
Belakangan ini, "phishing tanda tangan" telah menjadi metode phishing yang paling disukai oleh hacker Web3. Meskipun para ahli di industri dan berbagai perusahaan dompet serta keamanan terus melakukan kampanye penyuluhan, masih banyak pengguna yang menjadi korban setiap harinya. Salah satu alasan utama untuk situasi ini adalah bahwa sebagian besar pengguna kekurangan pemahaman tentang prinsip dasar interaksi dompet, dan bagi non-teknisi, ambang belajar pengetahuan terkait cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar phishing tanda tangan dengan cara yang diilustrasikan dan berusaha menggunakan bahasa yang sederhana agar pembaca tanpa latar belakang teknis juga dapat memahami dengan mudah.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, yang tidak memerlukan biaya gas; sementara interaksi dilakukan di atas blockchain, yang memerlukan biaya gas.
Skenario tanda tangan yang khas adalah verifikasi identitas, seperti saat masuk ke dompet. Ketika Anda perlu menukarkan token di bursa terdesentralisasi (DEX), langkah pertama adalah menghubungkan dompet Anda. Dalam proses ini, Anda perlu menandatangani untuk membuktikan "saya adalah pemilik dompet ini". Langkah ini tidak akan mempengaruhi data atau status di blockchain, sehingga tidak perlu membayar biaya.
Sebaliknya, interaksi mengacu pada pelaksanaan operasi yang sebenarnya di blockchain. Misalnya, ketika Anda menukar token di DEX, Anda perlu membayar biaya terlebih dahulu, memberi tahu kontrak pintar DEX: "Saya memberi wewenang kepada Anda untuk memindahkan 100USDT saya". Langkah ini disebut sebagai otorisasi (approve). Kemudian, Anda juga perlu membayar biaya lagi, memberi tahu kontrak: "Sekarang silakan lakukan operasi menukar 100USDT dengan 1 token". Dengan demikian, Anda telah menyelesaikan pertukaran token.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode phishing yang paling khas di Web3 pada tahap awal. Para peretas akan membuat situs web yang menyamar sebagai proyek normal, memancing pengguna untuk mengklik tombol seperti "klaim airdrop". Sebenarnya, setelah pengguna mengklik, antarmuka dompet yang muncul meminta pengguna untuk memberikan otorisasi kepada alamat peretas untuk mengoperasikan token mereka. Begitu pengguna mengonfirmasi, peretas dapat mengendalikan aset pengguna.
Namun, ada satu kekurangan dari phishing yang diberi wewenang: karena perlu membayar biaya Gas, banyak pengguna akan lebih berhati-hati saat melakukan operasi keuangan, sehingga lebih mudah menemukan anomali.
Dan penipuan tanda tangan Permit dan Permit2 telah menjadi zona bencana untuk keamanan aset Web3 saat ini. Ini terutama disebabkan oleh fakta bahwa pengguna selalu perlu menandatangani untuk masuk ke dompet saat menggunakan aplikasi terdesentralisasi (DApp). Banyak orang telah membentuk pemikiran kebiasaan "tanda tangan itu aman", ditambah lagi tanda tangan tidak memerlukan biaya, dan sebagian besar orang tidak memahami arti di balik setiap tanda tangan, sehingga metode penipuan semacam ini semakin sulit untuk dicegah.
Mekanisme Permit adalah sebuah ekstensi dari fungsi otorisasi di bawah standar ERC-20. Secara sederhana, ini memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Berbeda dengan otorisasi tradisional (Approve), Permit adalah ketika pengguna menandatangani sebuah "surat kuasa", yang memungkinkan seseorang untuk mengoperasikan jumlah token tertentu. Orang yang memegang "surat kuasa" ini dapat mengajukan kepada kontrak pintar dan membayar biaya Gas, memberi tahu kontrak "saya diizinkan untuk mengoperasikan token ini". Dalam proses ini, pengguna hanya menandatangani, tetapi dapat menyebabkan aset dipindahkan. Hacker dapat dengan mudah mendapatkan aset pengguna dengan mengganti tombol masuk dompet di situs palsu dengan Permit phishing.
Permit2 adalah fitur yang diluncurkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Tujuannya adalah untuk menyederhanakan masalah di mana pengguna harus memberikan otorisasi dan membayar biaya Gas ganda setiap kali melakukan transaksi. Pengguna dapat memberikan otorisasi penuh kepada kontrak cerdas Permit2 sekaligus, setelah itu setiap transaksi hanya memerlukan tanda tangan, dan biaya Gas dibayarkan oleh kontrak Permit2 (akhirnya dikurangi dari token yang ditukar). Namun, jika pengguna sebelumnya telah menggunakan DEX tersebut dan memberikan otorisasi tak terbatas, mereka mungkin menjadi korban phishing Permit2. Peretas hanya perlu membujuk pengguna untuk menandatangani, dan mereka dapat mentransfer token yang telah diotorisasi.
Secara umum, phishing otorisasi adalah ketika pengguna secara langsung memberikan izin kepada peretas untuk mengoperasikan token mereka; sedangkan phishing tanda tangan adalah ketika pengguna secara tidak sadar menandatangani "surat izin" yang memungkinkan orang lain mengoperasikan aset, dan peretas kemudian memanfaatkan "surat izin" ini untuk memindahkan aset. Permit adalah fungsi ekstensi otorisasi dari ERC-20, sementara Permit2 adalah fungsi baru yang diluncurkan oleh suatu DEX.
Untuk mencegah serangan phishing ini, kita dapat mengambil langkah-langkah berikut:
Kembangkan kesadaran keamanan, periksa dengan cermat apa yang sedang dilakukan setiap kali melakukan operasi dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Waspadai permintaan tanda tangan yang mengandung bidang berikut:
Interaktif:alamat interaksi
Pemilik:Alamat pihak yang memberi otorisasi
Spender: Alamat pihak yang diberi wewenang
Nilai:jumlah yang diotorisasi
Nonce:angka acak
Deadline:Batas waktu
Dengan memahami prinsip dasar ini dan mengambil langkah pencegahan yang tepat, kita dapat lebih baik melindungi keamanan aset Web3 kita.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
17 Suka
Hadiah
17
9
Bagikan
Komentar
0/400
OnchainHolmes
· 07-14 16:56
Eh, masih banyak sekali para suckers yang terjebak.
Lihat AsliBalas0
BtcDailyResearcher
· 07-14 12:54
Mancing mati sekeluarga
Lihat AsliBalas0
WhaleStalker
· 07-14 07:08
Nanti ada Hacker yang berulah lagi.
Lihat AsliBalas0
MemeTokenGenius
· 07-12 21:59
Dompet pemula wajib
Lihat AsliBalas0
MEVEye
· 07-12 21:57
Semakin banyak belajar, semakin sedikit kamu akan dipermainkan!
Lihat AsliBalas0
LiquidationWatcher
· 07-12 21:52
Semua serangan tidak dapat dihindari, serangan utama sulit untuk dipertahankan.
Lihat AsliBalas0
MindsetExpander
· 07-12 21:40
Trik seperti ini sudah agak tua.
Lihat AsliBalas0
0xDreamChaser
· 07-12 21:35
Jebakan para penipu ini terlalu dalam.
Lihat AsliBalas0
InscriptionGriller
· 07-12 21:33
Jiujiu masih belum mengerti cara jebakan penarikan dana, semua sudah hilang.
Mengungkap Phishing Tanda Tangan Web3: Analisis Logika Dasar dari Otorisasi, Permit, dan Permit2
Logika dasar phishing tanda tangan Web3: Otorisasi, Permit, dan Permit2
Belakangan ini, "phishing tanda tangan" telah menjadi metode phishing yang paling disukai oleh hacker Web3. Meskipun para ahli di industri dan berbagai perusahaan dompet serta keamanan terus melakukan kampanye penyuluhan, masih banyak pengguna yang menjadi korban setiap harinya. Salah satu alasan utama untuk situasi ini adalah bahwa sebagian besar pengguna kekurangan pemahaman tentang prinsip dasar interaksi dompet, dan bagi non-teknisi, ambang belajar pengetahuan terkait cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar phishing tanda tangan dengan cara yang diilustrasikan dan berusaha menggunakan bahasa yang sederhana agar pembaca tanpa latar belakang teknis juga dapat memahami dengan mudah.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, yang tidak memerlukan biaya gas; sementara interaksi dilakukan di atas blockchain, yang memerlukan biaya gas.
Skenario tanda tangan yang khas adalah verifikasi identitas, seperti saat masuk ke dompet. Ketika Anda perlu menukarkan token di bursa terdesentralisasi (DEX), langkah pertama adalah menghubungkan dompet Anda. Dalam proses ini, Anda perlu menandatangani untuk membuktikan "saya adalah pemilik dompet ini". Langkah ini tidak akan mempengaruhi data atau status di blockchain, sehingga tidak perlu membayar biaya.
Sebaliknya, interaksi mengacu pada pelaksanaan operasi yang sebenarnya di blockchain. Misalnya, ketika Anda menukar token di DEX, Anda perlu membayar biaya terlebih dahulu, memberi tahu kontrak pintar DEX: "Saya memberi wewenang kepada Anda untuk memindahkan 100USDT saya". Langkah ini disebut sebagai otorisasi (approve). Kemudian, Anda juga perlu membayar biaya lagi, memberi tahu kontrak: "Sekarang silakan lakukan operasi menukar 100USDT dengan 1 token". Dengan demikian, Anda telah menyelesaikan pertukaran token.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah salah satu metode phishing yang paling khas di Web3 pada tahap awal. Para peretas akan membuat situs web yang menyamar sebagai proyek normal, memancing pengguna untuk mengklik tombol seperti "klaim airdrop". Sebenarnya, setelah pengguna mengklik, antarmuka dompet yang muncul meminta pengguna untuk memberikan otorisasi kepada alamat peretas untuk mengoperasikan token mereka. Begitu pengguna mengonfirmasi, peretas dapat mengendalikan aset pengguna.
Namun, ada satu kekurangan dari phishing yang diberi wewenang: karena perlu membayar biaya Gas, banyak pengguna akan lebih berhati-hati saat melakukan operasi keuangan, sehingga lebih mudah menemukan anomali.
Dan penipuan tanda tangan Permit dan Permit2 telah menjadi zona bencana untuk keamanan aset Web3 saat ini. Ini terutama disebabkan oleh fakta bahwa pengguna selalu perlu menandatangani untuk masuk ke dompet saat menggunakan aplikasi terdesentralisasi (DApp). Banyak orang telah membentuk pemikiran kebiasaan "tanda tangan itu aman", ditambah lagi tanda tangan tidak memerlukan biaya, dan sebagian besar orang tidak memahami arti di balik setiap tanda tangan, sehingga metode penipuan semacam ini semakin sulit untuk dicegah.
Mekanisme Permit adalah sebuah ekstensi dari fungsi otorisasi di bawah standar ERC-20. Secara sederhana, ini memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Berbeda dengan otorisasi tradisional (Approve), Permit adalah ketika pengguna menandatangani sebuah "surat kuasa", yang memungkinkan seseorang untuk mengoperasikan jumlah token tertentu. Orang yang memegang "surat kuasa" ini dapat mengajukan kepada kontrak pintar dan membayar biaya Gas, memberi tahu kontrak "saya diizinkan untuk mengoperasikan token ini". Dalam proses ini, pengguna hanya menandatangani, tetapi dapat menyebabkan aset dipindahkan. Hacker dapat dengan mudah mendapatkan aset pengguna dengan mengganti tombol masuk dompet di situs palsu dengan Permit phishing.
Permit2 adalah fitur yang diluncurkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Tujuannya adalah untuk menyederhanakan masalah di mana pengguna harus memberikan otorisasi dan membayar biaya Gas ganda setiap kali melakukan transaksi. Pengguna dapat memberikan otorisasi penuh kepada kontrak cerdas Permit2 sekaligus, setelah itu setiap transaksi hanya memerlukan tanda tangan, dan biaya Gas dibayarkan oleh kontrak Permit2 (akhirnya dikurangi dari token yang ditukar). Namun, jika pengguna sebelumnya telah menggunakan DEX tersebut dan memberikan otorisasi tak terbatas, mereka mungkin menjadi korban phishing Permit2. Peretas hanya perlu membujuk pengguna untuk menandatangani, dan mereka dapat mentransfer token yang telah diotorisasi.
Secara umum, phishing otorisasi adalah ketika pengguna secara langsung memberikan izin kepada peretas untuk mengoperasikan token mereka; sedangkan phishing tanda tangan adalah ketika pengguna secara tidak sadar menandatangani "surat izin" yang memungkinkan orang lain mengoperasikan aset, dan peretas kemudian memanfaatkan "surat izin" ini untuk memindahkan aset. Permit adalah fungsi ekstensi otorisasi dari ERC-20, sementara Permit2 adalah fungsi baru yang diluncurkan oleh suatu DEX.
Untuk mencegah serangan phishing ini, kita dapat mengambil langkah-langkah berikut:
Kembangkan kesadaran keamanan, periksa dengan cermat apa yang sedang dilakukan setiap kali melakukan operasi dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Waspadai permintaan tanda tangan yang mengandung bidang berikut:
Dengan memahami prinsip dasar ini dan mengambil langkah pencegahan yang tepat, kita dapat lebih baik melindungi keamanan aset Web3 kita.