Penipuan Tanda Tangan di Web3: Analisis Prinsip dan Langkah Pencegahan
Belakangan ini, "phishing tanda tangan" menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus melakukan edukasi, masih banyak pengguna yang menjadi korban setiap harinya. Salah satu alasan utama fenomena ini adalah sebagian besar orang kurang memahami logika dasar interaksi dompet, dan bagi non-teknisi, ambang batas pembelajaran cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Dua cara untuk mengoperasikan dompet
Saat menggunakan dompet Web3, kita terutama memiliki dua jenis operasi: "tanda tangan" dan "interaksi".
Tanda tangan: Terjadi di luar blockchain (off-chain), tidak perlu membayar biaya Gas.
Interaksi: Terjadi di blockchain (on-chain), perlu membayar biaya Gas.
Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan DApp. Proses ini tidak akan mempengaruhi data blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi blockchain yang nyata. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin (approve) kepada kontrak pintar untuk menggunakan token Anda, kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Metode phishing yang umum
1. Pishing Otorisasi
Ini adalah metode phishing Web3 tradisional. Hacker akan membuat situs web yang tampak sah untuk menipu pengguna melakukan operasi otorisasi. Ketika pengguna mengklik tombol "klaim airdrop" dan lainnya, sebenarnya mereka memberikan otorisasi kepada alamat hacker untuk menggunakan token mereka.
2. Izin tanda tangan phishing
Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Hacker dapat membujuk pengguna untuk menandatangani izin semacam itu, lalu memanfaatkan tanda tangan ini untuk mentransfer aset pengguna.
3. Phishing tanda tangan Permit2
Permit2 adalah fitur yang diluncurkan oleh beberapa DEX untuk menyederhanakan operasi pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekali saja, setelah itu hanya perlu menandatangani untuk melakukan transaksi. Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas, hacker dapat memanfaatkan mekanisme ini untuk memindahkan aset pengguna.
Tindakan Pencegahan
Membangun kesadaran keamanan: Periksa dengan cermat setiap kali Anda melakukan operasi dompet.
Pemisahan Aset: Memisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2: Waspadai permintaan tanda tangan yang mencakup bidang berikut:
Interaktif(交互网址)
Pemilik(alamat pemberi kuasa)
Spender (alamat pihak yang diberi kuasa)
Nilai(Jumlah yang Diberikan)
Nonce (angka acak)
Tenggat waktu(过期时间)
Dengan memahami prinsip-prinsip dari taktik phishing ini dan mengambil langkah-langkah pencegahan yang tepat, pengguna dapat lebih baik melindungi keamanan aset digital mereka. Dalam dunia Web3, tetap waspada dan terus belajar adalah hal yang sangat penting.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
6
Posting ulang
Bagikan
Komentar
0/400
GasOptimizer
· 08-09 19:28
Biaya gas sudah hilang, itu masih bisa diatasi. Jika sudah terjebak, maka sudah selesai.
Lihat AsliBalas0
LeverageAddict
· 08-09 18:30
Peminjam yang kecanduan datang lagi~ Sudah rugi lagi, hiks hiks
Lihat AsliBalas0
rugpull_survivor
· 08-09 18:28
Masih bisa bertanya? Sudah ditipu parah.
Lihat AsliBalas0
Token_Sherpa
· 08-09 18:28
uhh... lagi... minggu lagi, jebakan noob lainnya. kapan orang-orang akan belajar untuk rtfm smh
Analisis Lengkap Phishing Tanda Tangan Web3: Analisis Prinsip dan Strategi Pencegahan
Penipuan Tanda Tangan di Web3: Analisis Prinsip dan Langkah Pencegahan
Belakangan ini, "phishing tanda tangan" menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus melakukan edukasi, masih banyak pengguna yang menjadi korban setiap harinya. Salah satu alasan utama fenomena ini adalah sebagian besar orang kurang memahami logika dasar interaksi dompet, dan bagi non-teknisi, ambang batas pembelajaran cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Dua cara untuk mengoperasikan dompet
Saat menggunakan dompet Web3, kita terutama memiliki dua jenis operasi: "tanda tangan" dan "interaksi".
Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau menghubungkan DApp. Proses ini tidak akan mempengaruhi data blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi blockchain yang nyata. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin (approve) kepada kontrak pintar untuk menggunakan token Anda, kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Metode phishing yang umum
1. Pishing Otorisasi
Ini adalah metode phishing Web3 tradisional. Hacker akan membuat situs web yang tampak sah untuk menipu pengguna melakukan operasi otorisasi. Ketika pengguna mengklik tombol "klaim airdrop" dan lainnya, sebenarnya mereka memberikan otorisasi kepada alamat hacker untuk menggunakan token mereka.
2. Izin tanda tangan phishing
Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Hacker dapat membujuk pengguna untuk menandatangani izin semacam itu, lalu memanfaatkan tanda tangan ini untuk mentransfer aset pengguna.
3. Phishing tanda tangan Permit2
Permit2 adalah fitur yang diluncurkan oleh beberapa DEX untuk menyederhanakan operasi pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekali saja, setelah itu hanya perlu menandatangani untuk melakukan transaksi. Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas, hacker dapat memanfaatkan mekanisme ini untuk memindahkan aset pengguna.
Tindakan Pencegahan
Membangun kesadaran keamanan: Periksa dengan cermat setiap kali Anda melakukan operasi dompet.
Pemisahan Aset: Memisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali format tanda tangan Permit dan Permit2: Waspadai permintaan tanda tangan yang mencakup bidang berikut:
Dengan memahami prinsip-prinsip dari taktik phishing ini dan mengambil langkah-langkah pencegahan yang tepat, pengguna dapat lebih baik melindungi keamanan aset digital mereka. Dalam dunia Web3, tetap waspada dan terus belajar adalah hal yang sangat penting.