Penipuan Tanda Tangan di Web3: Analisis Prinsip dan Panduan Pencegahan
Dalam dunia Web3, "phishing tanda tangan" semakin menjadi salah satu metode serangan yang paling disukai oleh peretas. Meskipun para ahli industri dan perusahaan keamanan terus memperingatkan, masih banyak pengguna yang terjebak setiap hari. Salah satu alasan utama dari keadaan ini adalah bahwa kebanyakan orang kurang memahami logika dasar interaksi dompet, sedangkan bagi orang non-teknis, ambang batas untuk mempelajari pengetahuan terkait terlalu tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti saat masuk ke dompet. Ketika Anda ingin melakukan perdagangan di bursa terdesentralisasi, Anda perlu terlebih dahulu menghubungkan dompet, dan saat itu Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Sebagai perbandingan, interaksi melibatkan operasi on-chain yang sebenarnya. Misalnya, ketika Anda menukar token di bursa terdesentralisasi, Anda perlu terlebih dahulu memberikan otorisasi kepada kontrak pintar bursa untuk menggunakan token Anda, lalu melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Pancingan otorisasi memanfaatkan mekanisme otorisasi kontrak pintar. Peretas mungkin membuat situs web palsu untuk menipu pengguna agar melakukan operasi otorisasi, yang sebenarnya membuat pengguna memberikan otorisasi kepada alamat peretas untuk menggunakan token mereka.
Tanda tangan Permit dan Permit2 lebih tersembunyi. Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Para peretas dapat membujuk pengguna untuk menandatangani izin semacam itu, kemudian memanfaatkan tanda tangan ini untuk memindahkan aset pengguna.
Permit2 adalah fitur yang diperkenalkan oleh beberapa platform perdagangan untuk menyederhanakan operasi pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi kepada platform untuk menggunakan sejumlah besar token sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan. Meskipun praktis, jika tanda tangan jatuh ke tangan yang salah, dapat menyebabkan kerugian aset.
Untuk mencegah risiko-risiko ini, kami menyarankan:
Kembangkan kesadaran keamanan, periksa dengan cermat apa yang Anda lakukan setiap kali mengoperasikan dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat permintaan tanda tangan yang mencakup informasi berikut, harap berhati-hati:
Situs interaktif
Alamat Pemberi Kuasa
Alamat pihak yang diberi wewenang
Jumlah yang Diberikan
Angka acak
Waktu kedaluwarsa
Dengan memahami mekanisme ini dan mengambil langkah pencegahan yang tepat, kita dapat lebih baik melindungi aset digital kita dan berpartisipasi dengan aman dalam ekosistem Web3.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
4
Bagikan
Komentar
0/400
0xSherlock
· 20jam yang lalu
Sudah dipancing beberapa ratus eth lagi
Lihat AsliBalas0
WalletDetective
· 20jam yang lalu
Pemula harus melihat, mencegah penipuan itu penting.
Web3 Tanda Tangan Phishing: Analisis Prinsip dan Strategi Pencegahan
Penipuan Tanda Tangan di Web3: Analisis Prinsip dan Panduan Pencegahan
Dalam dunia Web3, "phishing tanda tangan" semakin menjadi salah satu metode serangan yang paling disukai oleh peretas. Meskipun para ahli industri dan perusahaan keamanan terus memperingatkan, masih banyak pengguna yang terjebak setiap hari. Salah satu alasan utama dari keadaan ini adalah bahwa kebanyakan orang kurang memahami logika dasar interaksi dompet, sedangkan bagi orang non-teknis, ambang batas untuk mempelajari pengetahuan terkait terlalu tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk verifikasi identitas, seperti saat masuk ke dompet. Ketika Anda ingin melakukan perdagangan di bursa terdesentralisasi, Anda perlu terlebih dahulu menghubungkan dompet, dan saat itu Anda perlu menandatangani untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Sebagai perbandingan, interaksi melibatkan operasi on-chain yang sebenarnya. Misalnya, ketika Anda menukar token di bursa terdesentralisasi, Anda perlu terlebih dahulu memberikan otorisasi kepada kontrak pintar bursa untuk menggunakan token Anda, lalu melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Pancingan otorisasi memanfaatkan mekanisme otorisasi kontrak pintar. Peretas mungkin membuat situs web palsu untuk menipu pengguna agar melakukan operasi otorisasi, yang sebenarnya membuat pengguna memberikan otorisasi kepada alamat peretas untuk menggunakan token mereka.
Tanda tangan Permit dan Permit2 lebih tersembunyi. Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna untuk memberikan persetujuan kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Para peretas dapat membujuk pengguna untuk menandatangani izin semacam itu, kemudian memanfaatkan tanda tangan ini untuk memindahkan aset pengguna.
Permit2 adalah fitur yang diperkenalkan oleh beberapa platform perdagangan untuk menyederhanakan operasi pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi kepada platform untuk menggunakan sejumlah besar token sekaligus, sehingga setiap transaksi berikutnya hanya memerlukan tanda tangan. Meskipun praktis, jika tanda tangan jatuh ke tangan yang salah, dapat menyebabkan kerugian aset.
Untuk mencegah risiko-risiko ini, kami menyarankan:
Kembangkan kesadaran keamanan, periksa dengan cermat apa yang Anda lakukan setiap kali mengoperasikan dompet.
Pisahkan dana besar dan dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika Anda melihat permintaan tanda tangan yang mencakup informasi berikut, harap berhati-hati:
Dengan memahami mekanisme ini dan mengambil langkah pencegahan yang tepat, kita dapat lebih baik melindungi aset digital kita dan berpartisipasi dengan aman dalam ekosistem Web3.