Penjelasan Phishing Tanda Tangan Web3: Logika Dasar dan Langkah Pencegahan
Dalam bidang Web3, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling disukai oleh para hacker. Meskipun banyak ahli keamanan dan perusahaan dompet terus melakukan edukasi, masih banyak pengguna yang mengalami kerugian setiap harinya. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar pengguna tentang mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar pengetahuan terkait cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari penipuan tanda tangan melalui ilustrasi dengan bahasa yang sederhana dan mudah dipahami.
Dua Tipe Operasi Dompet
Saat menggunakan dompet kripto, kita terutama melakukan dua jenis operasi: tanda tangan dan interaksi.
Tanda tangan: Terjadi di luar blockchain (off-chain), tidak memerlukan biaya Gas.
Interaksi: Terjadi di blockchain (on-chain), perlu membayar biaya Gas.
Tanda tangan biasanya digunakan untuk autentikasi, seperti saat masuk ke aplikasi terdesentralisasi (DApp). Proses ini tidak mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi blockchain yang nyata. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda (approve), kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Metode Phishing yang Umum
1. Otorisasi Phishing
Ini adalah teknik memancing klasik. Hacker akan membuat situs web yang menyamar sebagai proyek normal, yang menggoda pengguna untuk mengklik tombol seperti "klaim airdrop". Sebenarnya, setelah pengguna mengklik, itu akan memicu operasi otorisasi yang memungkinkan hacker mengakses token pengguna.
Keuntungan: Operasi sederhana dan langsung.
Kekurangan: Perlu membayar biaya Gas, yang dapat membuat pengguna waspada.
2. Izin tanda tangan phishing
Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberikan otorisasi kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Hacker dapat memanipulasi pengguna untuk menandatangani sebuah Permit, kemudian menggunakan tanda tangan ini untuk memindahkan aset pengguna.
Keuntungan: tidak perlu pengguna membayar biaya Gas, lebih mudah untuk menipu.
Kekurangan: Hanya berlaku untuk token yang mendukung fitur Permit.
3. Phishing tanda tangan Permit2
Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna. Pengguna dapat memberikan otorisasi dalam jumlah besar sekaligus kepada kontrak Permit2, setelah itu setiap transaksi hanya memerlukan tanda tangan, dan biaya Gas dibayarkan oleh kontrak.
Keuntungan: Jangkauan luas, dapat mempengaruhi banyak pengguna.
Kekurangan: Memerlukan pengguna untuk sebelumnya telah menggunakan DEX tersebut dan memberikan izin pada kontrak Permit2.
Tindakan Pencegahan
Kembangkan kesadaran keamanan: Periksa dengan cermat tindakan yang Anda lakukan setiap kali melakukan operasi dompet.
Pemisahan dana: Memisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali permintaan tanda tangan berbahaya: Perhatikan dengan seksama permintaan tanda tangan yang mengandung field berikut:
Interaktif(交互网址)
Pemilik(alamat pemberi wewenang)
Spender (alamat pihak yang diberi otorisasi)
Nilai(jumlah otorisasi)
Nonce (angka acak)
Tenggat waktu
Dengan memahami prinsip dan bentuk dari metode phishing ini, pengguna dapat melindungi aset digital mereka dengan lebih baik. Ingat, dalam dunia Web3, kesadaran akan keamanan dan tindakan hati-hati adalah kunci untuk melindungi aset.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
3
Bagikan
Komentar
0/400
GateUser-afe07a92
· 14jam yang lalu
pemula pengguna akan mengalami masalah lagi
Lihat AsliBalas0
DegenApeSurfer
· 17jam yang lalu
Sekali lagi, saran keamanan yang sudah sering dibahas.
Analisis Lengkap Phishing Tanda Tangan Web3: Penguraian Prinsip dan Panduan Perlindungan
Penjelasan Phishing Tanda Tangan Web3: Logika Dasar dan Langkah Pencegahan
Dalam bidang Web3, "phishing tanda tangan" telah menjadi salah satu metode penipuan yang paling disukai oleh para hacker. Meskipun banyak ahli keamanan dan perusahaan dompet terus melakukan edukasi, masih banyak pengguna yang mengalami kerugian setiap harinya. Salah satu penyebab utama situasi ini adalah kurangnya pemahaman sebagian besar pengguna tentang mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar pengetahuan terkait cukup tinggi.
Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari penipuan tanda tangan melalui ilustrasi dengan bahasa yang sederhana dan mudah dipahami.
Dua Tipe Operasi Dompet
Saat menggunakan dompet kripto, kita terutama melakukan dua jenis operasi: tanda tangan dan interaksi.
Tanda tangan biasanya digunakan untuk autentikasi, seperti saat masuk ke aplikasi terdesentralisasi (DApp). Proses ini tidak mengubah data atau status di blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi blockchain yang nyata. Misalnya, saat melakukan pertukaran token di DEX tertentu, Anda perlu terlebih dahulu memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda (approve), kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.
Metode Phishing yang Umum
1. Otorisasi Phishing
Ini adalah teknik memancing klasik. Hacker akan membuat situs web yang menyamar sebagai proyek normal, yang menggoda pengguna untuk mengklik tombol seperti "klaim airdrop". Sebenarnya, setelah pengguna mengklik, itu akan memicu operasi otorisasi yang memungkinkan hacker mengakses token pengguna.
Keuntungan: Operasi sederhana dan langsung. Kekurangan: Perlu membayar biaya Gas, yang dapat membuat pengguna waspada.
2. Izin tanda tangan phishing
Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberikan otorisasi kepada orang lain untuk menggunakan token mereka melalui tanda tangan. Hacker dapat memanipulasi pengguna untuk menandatangani sebuah Permit, kemudian menggunakan tanda tangan ini untuk memindahkan aset pengguna.
Keuntungan: tidak perlu pengguna membayar biaya Gas, lebih mudah untuk menipu. Kekurangan: Hanya berlaku untuk token yang mendukung fitur Permit.
3. Phishing tanda tangan Permit2
Permit2 adalah fitur yang diluncurkan oleh suatu DEX, bertujuan untuk menyederhanakan operasi pengguna. Pengguna dapat memberikan otorisasi dalam jumlah besar sekaligus kepada kontrak Permit2, setelah itu setiap transaksi hanya memerlukan tanda tangan, dan biaya Gas dibayarkan oleh kontrak.
Keuntungan: Jangkauan luas, dapat mempengaruhi banyak pengguna. Kekurangan: Memerlukan pengguna untuk sebelumnya telah menggunakan DEX tersebut dan memberikan izin pada kontrak Permit2.
Tindakan Pencegahan
Kembangkan kesadaran keamanan: Periksa dengan cermat tindakan yang Anda lakukan setiap kali melakukan operasi dompet.
Pemisahan dana: Memisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari cara mengenali permintaan tanda tangan berbahaya: Perhatikan dengan seksama permintaan tanda tangan yang mengandung field berikut:
Dengan memahami prinsip dan bentuk dari metode phishing ini, pengguna dapat melindungi aset digital mereka dengan lebih baik. Ingat, dalam dunia Web3, kesadaran akan keamanan dan tindakan hati-hati adalah kunci untuk melindungi aset.