Logika Dasar dan Pencegahan Phishing Tanda Tangan Web3

Belakangan ini, "phishing tanda tangan" menjadi metode serangan yang paling disukai oleh peretas Web3. Meskipun para ahli dan perusahaan keamanan di industri terus melakukan edukasi, setiap hari masih banyak pengguna yang mengalami kerugian. Salah satu penyebab utama dari situasi ini adalah kurangnya pemahaman sebagian besar pengguna tentang mekanisme dasar interaksi dompet, dan bagi orang non-teknis, ambang belajar pengetahuan terkait cukup tinggi.

Untuk membantu lebih banyak orang memahami masalah ini, kami akan menggunakan cara ilustrasi untuk menjelaskan logika dasar dari penipuan tanda tangan dengan bahasa yang paling sederhana dan mudah dipahami.

Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), memerlukan biaya Gas.

Tanda tangan biasanya digunakan untuk otentikasi, seperti masuk ke dompet atau terhubung ke DApp tertentu. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.

Interaksi melibatkan operasi on-chain yang nyata. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda pertama-tama perlu memberi otorisasi kepada kontrak pintar DEX untuk menggunakan token Anda (langkah ini disebut "otorisasi" atau "approve"), dan kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.

Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa cara phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.

Phishing yang diotorisasi adalah metode phishing Web3 klasik. Hacker biasanya akan memalsukan situs web yang tampak sah, menggoda pengguna untuk mengklik tombol "klaim airdrop" dan sejenisnya. Sebenarnya, setelah pengguna mengklik, itu akan memicu operasi otorisasi yang memungkinkan hacker mengakses token pengguna. Kekurangan dari metode ini adalah memerlukan biaya Gas, yang dapat membuat pengguna waspada.

Tanda tangan Permit dan Permit2 phishing jauh lebih tersembunyi. Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna untuk menyetujui orang lain untuk memindahkan token mereka melalui tanda tangan. Ini seperti menandatangani sebuah "catatan" yang memberi wewenang kepada seseorang untuk menggunakan aset Anda. Peretas dapat memanfaatkan mekanisme ini dengan membujuk pengguna untuk menandatangani pesan yang tampaknya tidak berbahaya, tetapi sebenarnya memberikan izin kepada peretas untuk memindahkan aset pengguna.

Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan proses operasi pengguna. Fitur ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar sekaligus kepada kontrak pintar Permit2, setelah itu setiap transaksi hanya memerlukan tanda tangan tanpa perlu memberikan otorisasi ulang. Namun, ini juga memberikan kesempatan bagi peretas. Jika pengguna pernah menggunakan DEX tersebut dan memberikan otorisasi tanpa batas, maka begitu mereka terjebak untuk menandatangani pesan Permit2, peretas dapat dengan mudah memindahkan aset pengguna.

Untuk mencegah serangan phishing ini, kami menyarankan:

1. Kembangkan kesadaran keamanan, periksa dengan cermat konten operasi spesifik setiap kali melakukan operasi dompet.

2. Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.

3. Pelajari cara mengenali format tanda tangan Permit dan Permit2. Jika melihat permintaan tanda tangan yang mencakup bidang berikut, harap tingkatkan kewaspadaan:

   • Interaktif（交互网址）
   • Pemilik（Alamat Pemberi Kuasa）
   • Spender (alamat pihak yang diberi kuasa)
   • Nilai（jumlah yang diotorisasi）
   • Nonce (angka acak)
   • Tenggat Waktu

Dengan memahami logika dasar ini dan mengambil langkah-langkah pencegahan yang sesuai, kita dapat lebih baik melindungi keamanan aset Web3 kita.