Analisis Jebakan Phishing Tanda Tangan Web3: Analisis Mekanisme Otorisasi, Permit, dan Permit2

Belakangan ini, para peretas di bidang Web3 sangat tertarik pada metode phishing baru—"phishing tanda tangan". Meskipun para ahli keamanan dan perusahaan dompet terus memberikan edukasi dan peringatan tentang hal ini, setiap hari masih banyak pengguna yang terjebak. Salah satu penyebab utama fenomena ini adalah kurangnya pemahaman sebagian besar pengguna tentang logika dasar interaksi dompet, serta tingginya batasan pembelajaran pengetahuan terkait bagi non-teknisi.

Untuk membantu lebih banyak orang memahami masalah ini, artikel ini akan menjelaskan logika dasar dari phishing tanda tangan dengan cara yang mudah dipahami, terutama ditujukan untuk pengguna yang tidak mengerti teknologi.

Pertama-tama, kita perlu memahami bahwa penggunaan dompet terutama melibatkan dua jenis operasi: "tanda tangan" dan "interaksi". Secara sederhana, tanda tangan adalah operasi yang terjadi di luar blockchain, tidak memerlukan biaya Gas; sedangkan interaksi terjadi di dalam blockchain, memerlukan biaya Gas.

Skenario tanda tangan yang khas digunakan untuk otentikasi identitas, misalnya saat masuk ke dompet. Ketika Anda perlu melakukan operasi di suatu DApp, Anda harus terlebih dahulu membuktikan bahwa Anda adalah pemilik dompet tersebut melalui tanda tangan. Proses ini tidak akan menghasilkan perubahan substansial pada blockchain, sehingga tidak perlu membayar biaya.

Sebaliknya, interaksi melibatkan operasi di blockchain yang sebenarnya. Misalnya, ketika Anda ingin menukar token di suatu DEX, Anda perlu memberikan izin kepada kontrak pintar DEX untuk menggunakan token Anda, dan kemudian menjalankan operasi pertukaran yang sebenarnya. Kedua langkah ini memerlukan pembayaran biaya Gas.

Setelah memahami perbedaan antara tanda tangan dan interaksi, mari kita lihat beberapa metode phishing yang umum: phishing otorisasi, phishing tanda tangan Permit, dan phishing tanda tangan Permit2.

Phishing dengan otorisasi adalah metode phishing klasik yang memanfaatkan mekanisme otorisasi (approve). Penjahat siber mungkin membuat situs phishing yang menyamar sebagai proyek NFT, yang menggoda pengguna untuk mengklik tombol "klaim airdrop". Sebenarnya, setelah pengguna mengklik, yang muncul adalah permintaan untuk mengizinkan alamat penjahat siber mengoperasikan token pengguna. Setelah pengguna mengonfirmasi, penjahat siber dapat mengontrol aset pengguna.

Namun, phishing yang diotorisasi memerlukan pembayaran biaya Gas, sehingga banyak pengguna menjadi waspada saat melihat permintaan pembayaran yang muncul di dompet, sehingga relatif mudah untuk dicegah.

Dan penipuan tanda tangan Permit dan Permit2 jauh lebih tersembunyi dan berbahaya. Permit adalah fitur tambahan dari standar ERC-20, yang memungkinkan pengguna untuk memberi izin kepada orang lain untuk mengoperasikan token mereka melalui tanda tangan. Pengguna hanya perlu menandatangani sebuah "catatan" yang berisi informasi pemberian izin, dan orang yang memiliki "catatan" ini dapat mewakili pengguna untuk melakukan operasi pemberian izin.

Permit2 adalah fitur yang diluncurkan oleh suatu DEX untuk meningkatkan pengalaman pengguna. Ini memungkinkan pengguna untuk memberikan otorisasi jumlah besar sekaligus kepada kontrak Permit2, setelah itu setiap transaksi hanya perlu ditandatangani sebagai konfirmasi, tanpa perlu membayar biaya Gas tambahan.

Dua cara memancing ini sulit untuk dicegah karena pengguna sudah terbiasa melakukan operasi tanda tangan sebelum menggunakan DApp, seringkali tidak memeriksa dengan cermat isi tanda tangan tersebut.

Untuk mencegah phishing tanda tangan, pengguna harus:

1. Kembangkan kesadaran keamanan, periksa dengan cermat setiap operasi yang sedang dilakukan saat menggunakan dompet.

2. Pisahkan dana besar dari dompet yang digunakan sehari-hari untuk mengurangi potensi kerugian.

3. Pelajari cara mengenali format tanda tangan Permit dan Permit2, dan waspadalah ketika melihat permintaan tanda tangan yang berisi informasi berikut:

   • Interaktif：URL interaktif
   • Pemilik：Alamat pihak yang memberikan wewenang
   • Spender: Alamat pihak yang diberi wewenang
   • Nilai：Jumlah yang diizinkan
   • Nonce：angka acak
   • Deadline：Waktu kedaluwarsa

Dengan memahami prinsip dan metode pencegahan mekanisme phishing ini, pengguna dapat lebih baik melindungi keamanan aset digital mereka.