Analisis Logika Dasar Phishing Tanda Tangan Web3

Belakangan ini, "phishing tanda tangan" menjadi salah satu metode penipuan yang paling disukai oleh hacker Web3. Meskipun para ahli dan perusahaan keamanan di industri terus mempromosikan pengetahuan terkait, masih banyak pengguna yang terjebak setiap harinya. Salah satu alasan utama untuk fenomena ini adalah sebagian besar orang kurang memahami mekanisme dasar interaksi dompet, dan bagi non-teknisi, ambang belajar terlalu tinggi.

Untuk membantu lebih banyak orang memahami masalah ini, kami akan menjelaskan logika dasar dari phishing tanda tangan melalui ilustrasi dan bahasa yang mudah dimengerti.

Pertama, kita perlu memahami bahwa ada dua jenis operasi utama saat menggunakan dompet: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan terjadi di luar blockchain (off-chain), tanpa perlu membayar biaya Gas; sedangkan interaksi terjadi di dalam blockchain (on-chain), yang memerlukan pembayaran biaya Gas.

Tanda tangan biasanya digunakan untuk otentikasi, seperti saat masuk ke dompet. Ketika Anda menghubungkan ke DEX tertentu, Anda perlu memberikan tanda tangan untuk membuktikan bahwa Anda adalah pemilik dompet tersebut. Proses ini tidak akan mengubah data atau status di blockchain, sehingga tidak diperlukan biaya.

Sebagai perbandingan, interaksi melibatkan operasi on-chain yang nyata. Misalnya, saat melakukan pertukaran Token di suatu DEX, Anda perlu terlebih dahulu memberikan izin kepada kontrak pintar DEX untuk dapat menggerakkan Token Anda (disebut "otorisasi" atau "approve"), dan kemudian melakukan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.

Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat tiga jenis phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.

Phishing yang menggunakan otorisasi memanfaatkan mekanisme otorisasi (approve). Hacker mungkin membuat situs phishing yang menyamar sebagai proyek NFT, mengelabui pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, tindakan ini akan meminta pengguna untuk memberikan otorisasi kepada alamat hacker untuk mengelola Token mereka. Karena perlu membayar biaya Gas, banyak pengguna menjadi lebih waspada saat menghadapi situasi seperti ini, sehingga relatif lebih mudah untuk dicegah.

Penandatanganan phishing Permit dan Permit2 lebih sulit untuk dicegah, karena pengguna telah terbiasa menandatangani untuk masuk ke dompet sebelum menggunakan DApp, yang dapat membentuk pola pikir "operasi ini aman".

Mekanisme Permit adalah fitur ekstensi dari standar ERC-20 yang mengizinkan otorisasi. Pengguna memberikan tanda tangan untuk menyetujui orang lain memindahkan Token mereka, bukan melakukan operasi otorisasi secara langsung di blockchain. Peretas dapat memanfaatkan mekanisme ini untuk membujuk pengguna menandatangani pesan yang mengizinkan pemindahan aset, dan kemudian menggunakan tanda tangan ini untuk mengambil Token pengguna.

Permit2 adalah fitur yang diperkenalkan oleh beberapa DEX untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi dalam jumlah besar kepada kontrak pintar Permit2 sekali saja, setelah itu setiap transaksi hanya memerlukan tanda tangan tanpa harus membayar biaya Gas lagi. Namun, jika pengguna pernah menggunakan DEX tersebut dan memberikan batasan tak terbatas, mereka mungkin menjadi target phishing Permit2.

Secara keseluruhan, phishing otorisasi adalah membiarkan pengguna secara langsung memberikan wewenang kepada hacker untuk mengoperasikan Token mereka, sementara phishing tanda tangan adalah membujuk pengguna untuk menandatangani "lisensi" yang memungkinkan hacker untuk memindahkan aset.

Untuk mencegah serangan phishing ini, kita dapat mengambil langkah-langkah berikut:

1. Kembangkan kesadaran akan keamanan, periksa dengan teliti konten operasi setiap kali melakukan operasi dompet.

2. Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.

3. Pelajari cara mengenali format tanda tangan Permit dan Permit2. Saat melihat permintaan tanda tangan yang berisi konten berikut, Anda harus lebih waspada:

   • Interaktif：alamat interaksi
   • Pemilik：Alamat pemberi kuasa
   • Spender：alamat pihak yang diberi wewenang
   • Nilai：jumlah otorisasi
   • Nonce：angka acak
   • Deadline：Batas waktu

Dengan memahami mekanisme dasar ini dan mengambil langkah-langkah pencegahan yang tepat, kita dapat melindungi aset digital kita dengan lebih baik dan menghindari menjadi korban phishing tanda tangan.