Belakangan ini, "phishing tanda tangan" menjadi metode penipuan yang paling disukai oleh para peretas Web3. Meskipun para ahli keamanan dan berbagai dompet terus mempromosikan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar orang tentang logika dasar interaksi dompet, dan bagi non-teknisi, ambang belajar yang tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan prinsip dasar dari phishing tanda tangan dengan cara yang ilustratif dan mudah dipahami, dengan harapan pengguna yang tidak memiliki latar belakang teknis juga dapat memahami dengan mudah.
Pertama-tama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: tanda tangan dan interaksi. Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tanpa perlu membayar biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), dan memerlukan pembayaran biaya Gas.
Skenario tanda tangan yang khas adalah verifikasi identitas, misalnya saat masuk ke dompet. Ketika Anda ingin menggunakan aplikasi terdesentralisasi (DApp), Anda perlu terlebih dahulu menghubungkan dompet dan menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan menghasilkan perubahan data atau status pada blockchain, jadi tidak perlu membayar biaya.
Sebaliknya, interaksi melibatkan operasi on-chain yang sebenarnya. Misalnya, saat melakukan pertukaran token di suatu DEX, Anda perlu terlebih dahulu memberikan otorisasi kepada kontrak pintar untuk memindahkan token Anda (disebut "otorisasi" atau "approve"), kemudian baru melaksanakan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita bahas tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode klasik yang memanfaatkan mekanisme otorisasi. Hacker dapat membuat situs phishing yang menyamar sebagai proyek NFT, yang menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, operasi ini akan meminta pengguna untuk mengizinkan alamat hacker untuk mengoperasikan token mereka.
Tanda tangan Permit dan Permit2 lebih tersembunyi dalam phishing. Permit adalah fungsi tambahan dari standar ERC-20, yang memungkinkan pengguna untuk memberikan otorisasi kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna dan mengurangi pengeluaran Gas. Meskipun kedua mekanisme ini nyaman, mereka juga dimanfaatkan oleh peretas untuk melakukan serangan phishing.
Untuk mencegah phishing tanda tangan, pengguna harus:
Kembangkan kesadaran keamanan, periksa dengan seksama setiap kali melakukan operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2, termasuk URL interaksi, alamat pemberi otorisasi, alamat penerima otorisasi, jumlah otorisasi, angka acak, dan informasi kunci lainnya seperti waktu kedaluwarsa.
Dengan memahami prinsip dasar ini dan mengambil langkah pencegahan yang tepat, pengguna dapat melindungi aset digital mereka dengan lebih baik dan menghindari menjadi korban phishing tanda tangan.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
6 Suka
Hadiah
6
5
Bagikan
Komentar
0/400
SchrödingersNode
· 07-12 10:53
Tanda tangan untuk kesepian ya?
Lihat AsliBalas0
OptionWhisperer
· 07-09 17:28
Orang gemuk tahun ini sudah terjatuh enam kali lagi, berjalan-jalan saja sudah jatuh dompet.
Lihat AsliBalas0
DefiPlaybook
· 07-09 12:32
Berdasarkan data on-chain dalam tiga bulan terakhir, serangan phishing tanda tangan semacam ini menyumbang 42,7% dari kerugian Web3.
Lihat AsliBalas0
GasFeeNightmare
· 07-09 12:26
Ah, Gas saya kok naik lagi?
Lihat AsliBalas0
TokenEconomist
· 07-09 12:24
sebenarnya ini hanya dasar-dasar kriptografi 101...
Analisis Prinsip Phishing Tanda Tangan Dompet Web3: Memahami Logika Dasar untuk Melindungi aset digital
Analisis Logika Dasar Pancingan Tanda Tangan Web3
Belakangan ini, "phishing tanda tangan" menjadi metode penipuan yang paling disukai oleh para peretas Web3. Meskipun para ahli keamanan dan berbagai dompet terus mempromosikan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar orang tentang logika dasar interaksi dompet, dan bagi non-teknisi, ambang belajar yang tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan prinsip dasar dari phishing tanda tangan dengan cara yang ilustratif dan mudah dipahami, dengan harapan pengguna yang tidak memiliki latar belakang teknis juga dapat memahami dengan mudah.
Pertama-tama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: tanda tangan dan interaksi. Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tanpa perlu membayar biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), dan memerlukan pembayaran biaya Gas.
Skenario tanda tangan yang khas adalah verifikasi identitas, misalnya saat masuk ke dompet. Ketika Anda ingin menggunakan aplikasi terdesentralisasi (DApp), Anda perlu terlebih dahulu menghubungkan dompet dan menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan menghasilkan perubahan data atau status pada blockchain, jadi tidak perlu membayar biaya.
Sebaliknya, interaksi melibatkan operasi on-chain yang sebenarnya. Misalnya, saat melakukan pertukaran token di suatu DEX, Anda perlu terlebih dahulu memberikan otorisasi kepada kontrak pintar untuk memindahkan token Anda (disebut "otorisasi" atau "approve"), kemudian baru melaksanakan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita bahas tiga jenis metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diotorisasi adalah metode klasik yang memanfaatkan mekanisme otorisasi. Hacker dapat membuat situs phishing yang menyamar sebagai proyek NFT, yang menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, operasi ini akan meminta pengguna untuk mengizinkan alamat hacker untuk mengoperasikan token mereka.
Tanda tangan Permit dan Permit2 lebih tersembunyi dalam phishing. Permit adalah fungsi tambahan dari standar ERC-20, yang memungkinkan pengguna untuk memberikan otorisasi kepada orang lain untuk memindahkan token mereka melalui tanda tangan. Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna dan mengurangi pengeluaran Gas. Meskipun kedua mekanisme ini nyaman, mereka juga dimanfaatkan oleh peretas untuk melakukan serangan phishing.
Untuk mencegah phishing tanda tangan, pengguna harus:
Dengan memahami prinsip dasar ini dan mengambil langkah pencegahan yang tepat, pengguna dapat melindungi aset digital mereka dengan lebih baik dan menghindari menjadi korban phishing tanda tangan.