Phishing Tanda Tangan Web3: Analisis Logika Dasar dan Panduan Pencegahan
Belakangan ini, "phishing tanda tangan" menjadi metode serangan favorit para hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus melakukan edukasi, masih banyak pengguna yang terjebak setiap hari. Ini terutama disebabkan oleh kurangnya pemahaman sebagian besar orang tentang mekanisme dasar interaksi dompet, dan bagi non-teknis, ambang batas pembelajaran yang cukup tinggi.
Untuk membuat lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua operasi dasar saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar rantai dan tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam rantai dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk autentikasi, seperti masuk ke dompet atau menghubungkan ke DApp tertentu. Proses ini tidak akan mengubah data blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi nyata di blockchain. Mengambil contoh menukar token di DEX tertentu, Anda perlu memberikan izin kepada kontrak pintar untuk menggunakan token Anda, kemudian melakukan operasi penukaran. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat tiga cara phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diberdayakan memanfaatkan mekanisme otorisasi kontrak pintar. Hacker dengan membuat situs web yang cantik, membujuk pengguna untuk mengklik tombol "klaim airdrop" dan sebagainya, sebenarnya membuat pengguna memberikan izin kepada alamat hacker untuk mengoperasikan token mereka. Cara ini memerlukan pembayaran biaya Gas, sehingga pengguna mungkin akan lebih waspada.
Penipuan tanda tangan Permit dan Permit2 lebih sulit untuk dicegah. Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberikan otorisasi kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Permit2 adalah fitur yang diperkenalkan oleh suatu DEX, yang bertujuan untuk menyederhanakan proses operasi pengguna. Kedua cara penipuan ini tidak memerlukan pengguna untuk membayar biaya Gas, sehingga lebih mudah untuk membuat orang merasa tenang.
Hacker dapat dengan mudah mengganti tombol login dengan permintaan tanda tangan Permit atau Permit2 melalui situs web yang dipalsukan. Begitu pengguna menandatangani, hacker dapat memperoleh izin untuk mengoperasikan aset pengguna.
Bagaimana cara mencegah serangan phishing ini?
Kembangkan kesadaran keamanan, periksa dengan teliti setiap kali melakukan operasi dompet.
Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.
Pelajari untuk mengenali format tanda tangan Permit dan Permit2, dan waspadalah ketika melihat konten berikut:
Interaktif:situs interaksi
Pemilik:Alamat pihak yang memberi wewenang
Spender: Alamat pihak yang diberi wewenang
Nilai:Jumlah yang diberi kuasa
Nonce:angka acak
Deadline:batas waktu
Dengan memahami mekanisme dasar dan langkah-langkah pencegahan ini, kita dapat lebih baik melindungi keamanan aset Web3 kita.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
14 Suka
Hadiah
14
4
Posting ulang
Bagikan
Komentar
0/400
TokenVelocity
· 6jam yang lalu
Masuk langsung ditangkap ikan, banyak sekali pemula.
Lihat AsliBalas0
TopBuyerBottomSeller
· 08-13 04:01
Lagi kena tipu, rugi sampai tidak ada celana dalam.
Lihat AsliBalas0
CommunitySlacker
· 08-13 04:00
Hanya setelah ditipu, saya mengerti bahwa bekas luka adalah guru terbaik.
Lihat AsliBalas0
NestedFox
· 08-13 03:59
Sekali lagi melakukan edukasi, lebih baik langsung melakukan demonstrasi.
Analisis Lengkap Serangan Phishing Tanda Tangan Web3: Penjelasan Prinsip dan Strategi Pencegahan
Phishing Tanda Tangan Web3: Analisis Logika Dasar dan Panduan Pencegahan
Belakangan ini, "phishing tanda tangan" menjadi metode serangan favorit para hacker Web3. Meskipun para ahli keamanan dan perusahaan dompet terus melakukan edukasi, masih banyak pengguna yang terjebak setiap hari. Ini terutama disebabkan oleh kurangnya pemahaman sebagian besar orang tentang mekanisme dasar interaksi dompet, dan bagi non-teknis, ambang batas pembelajaran yang cukup tinggi.
Untuk membuat lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami.
Pertama, kita perlu memahami bahwa ada dua operasi dasar saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar rantai dan tidak memerlukan biaya Gas; sementara interaksi terjadi di dalam rantai dan memerlukan biaya Gas.
Tanda tangan biasanya digunakan untuk autentikasi, seperti masuk ke dompet atau menghubungkan ke DApp tertentu. Proses ini tidak akan mengubah data blockchain, sehingga tidak perlu membayar biaya.
Interaksi melibatkan operasi nyata di blockchain. Mengambil contoh menukar token di DEX tertentu, Anda perlu memberikan izin kepada kontrak pintar untuk menggunakan token Anda, kemudian melakukan operasi penukaran. Kedua langkah ini memerlukan pembayaran biaya Gas.
Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat tiga cara phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.
Phishing yang diberdayakan memanfaatkan mekanisme otorisasi kontrak pintar. Hacker dengan membuat situs web yang cantik, membujuk pengguna untuk mengklik tombol "klaim airdrop" dan sebagainya, sebenarnya membuat pengguna memberikan izin kepada alamat hacker untuk mengoperasikan token mereka. Cara ini memerlukan pembayaran biaya Gas, sehingga pengguna mungkin akan lebih waspada.
Penipuan tanda tangan Permit dan Permit2 lebih sulit untuk dicegah. Permit adalah fitur ekstensi dari standar ERC-20 yang memungkinkan pengguna untuk memberikan otorisasi kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Permit2 adalah fitur yang diperkenalkan oleh suatu DEX, yang bertujuan untuk menyederhanakan proses operasi pengguna. Kedua cara penipuan ini tidak memerlukan pengguna untuk membayar biaya Gas, sehingga lebih mudah untuk membuat orang merasa tenang.
Hacker dapat dengan mudah mengganti tombol login dengan permintaan tanda tangan Permit atau Permit2 melalui situs web yang dipalsukan. Begitu pengguna menandatangani, hacker dapat memperoleh izin untuk mengoperasikan aset pengguna.
Bagaimana cara mencegah serangan phishing ini?
Dengan memahami mekanisme dasar dan langkah-langkah pencegahan ini, kita dapat lebih baik melindungi keamanan aset Web3 kita.