Tanda tangan dicuri? Mengungkap penipuan phishing tanda tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, sifat kode sumber terbuka membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut menulis satu baris kode yang salah dan meninggalkan celah. Begitu terjadi insiden keamanan, konsekuensinya sulit untuk ditanggung.
Bagi pengguna individu, jika tidak memahami makna dari setiap tindakan yang dilakukan, setiap interaksi atau tanda tangan di blockchain dapat berpotensi mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu tantangan terbesar di dunia kripto. Mengingat sifat blockchain, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, maka memiliki pengetahuan tentang keamanan sangat penting di dunia kripto.
Belakangan ini, seorang peneliti menemukan metode phishing baru yang aktif selama hampir dua bulan terakhir. Cara ini hanya memerlukan tanda tangan yang dapat mengakibatkan pencurian aset, metode ini sangat tersembunyi dan sulit untuk dicegah. Yang lebih buruk, alamat yang pernah berinteraksi dengan DEX tertentu dapat menghadapi risiko. Artikel ini akan memberikan penjelasan tentang metode phishing tanda tangan ini, untuk menghindari lebih banyak pengguna mengalami kerugian aset.
Kejadian ini dimulai dengan insiden pencurian aset teman bernama ( Xiao A ). Berbeda dengan kasus pencurian yang umum, Xiao A tidak membocorkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Melalui penjelajah blockchain, terlihat bahwa USDT di dompet Xiao A dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan tindakan untuk mengeluarkan Token, bukan kebocoran kunci privat dompet.
Detail transaksi menunjukkan:
Sebuah alamat memindahkan aset kecil A ke alamat lain
Operasi ini berinteraksi dengan kontrak Permit2 dari DEX tertentu.
Masalah kunci adalah, bagaimana alamat ini mendapatkan izin untuk aset kecil A? Mengapa terkait dengan DEX tertentu?
Untuk memanggil fungsi Transfer From, syaratnya adalah pihak yang memanggil perlu memiliki izin limit token tersebut (approve). Sebelum memindahkan aset kecil A dari alamat tersebut, juga dilakukan operasi Permit, di mana kedua objek interaksi tersebut adalah kontrak Permit2 dari DEX tertentu.
Kontrak Permit2 dari suatu DEX adalah kontrak pintar baru yang diluncurkan oleh bursa tersebut pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk berbagi dan mengelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terpadu, lebih hemat biaya, dan lebih aman. Di masa depan, seiring dengan semakin banyak proyek yang mengintegrasikan Permit2, diharapkan akan ada standar persetujuan Token di semua aplikasi, sehingga mengurangi biaya transaksi dan meningkatkan pengalaman pengguna.
Dalam cara interaksi tradisional, pengguna perlu memberikan otorisasi secara terpisah setiap kali berinteraksi dengan DApp untuk aset. Permit2 berfungsi sebagai perantara antara pengguna dan DApp, di mana pengguna hanya perlu memberikan otorisasi Token kepada kontrak Permit2, dan semua DApp yang mengintegrasikan kontrak tersebut dapat berbagi batas otorisasi ini. Ini secara signifikan mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan off-chain, dengan semua operasi on-chain dilakukan oleh pihak perantara. Manfaat yang dihadirkan adalah, bahkan jika dompet pengguna tidak memiliki ETH, mereka dapat menggunakan Token lain untuk membayar biaya Gas atau ditanggung oleh pihak perantara. Namun, tanda tangan off-chain justru merupakan tahap yang paling mudah diabaikan oleh pengguna.
Untuk memicu penipuan tanda tangan Permit2 ini, syarat kuncinya adalah dompet perlu memiliki otorisasi Token untuk kontrak Permit2 dari DEX tertentu. Saat ini, setiap kali melakukan Swap di DApp yang terintegrasi dengan Permit2 atau di DEX tersebut, otorisasi semacam ini diperlukan. Yang lebih mengkhawatirkan adalah, tidak peduli berapa jumlah yang ingin di-Swap, kontrak Permit2 akan secara default memungkinkan pengguna untuk mengotorisasi seluruh saldo Token tersebut.
Ini berarti, selama Anda berinteraksi dengan DEX tersebut setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan ini. Hacker memanfaatkan fungsi Permit, untuk memindahkan batas token yang Anda berikan kepada kontrak Permit2 ke alamat lain dengan tanda tangan Anda. Setelah mendapatkan tanda tangan Anda, mereka dapat memindahkan aset di dompet Anda.
Saat ini teramati, kontrak Permit2 dari suatu DEX telah menjadi "surga" bagi penipu, dan sepertinya penipuan tanda tangan Permit2 ini baru mulai aktif dua bulan yang lalu. Dalam catatan interaksi kontrak, sebagian besar adalah alamat penipuan yang telah ditandai, dan terus ada orang yang terjebak.
Mengingat bahwa kontrak Permit2 mungkin menjadi lebih umum di masa depan, lebih banyak proyek mungkin akan mengintegrasikannya untuk berbagi otorisasi, berikut adalah beberapa saran pencegahan yang efektif:
Pelajari cara mengenali format tanda tangan Permit. Biasanya mencakup informasi kunci seperti Owner, Spender, value, nonce, dan deadline. Menggunakan plugin keamanan dapat membantu dalam pengenalan.
Pisahkan penggunaan aset dan dompet interaksi. Simpan aset besar di dompet dingin, sementara dompet interaksi sehari-hari hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi kerugian akibat phishing.
Berhati-hati dalam memberikan kuota kontrak Permit2. Saat melakukan Swap, hanya berikan kuota yang diperlukan. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan meningkatkan biaya, ini dapat menghindari penipuan tanda tangan Permit2. Otorisasi yang telah diberikan dapat dibatalkan melalui plugin keamanan.
Memahami apakah token mendukung fungsi permit. Perhatikan apakah token yang Anda miliki mendukung fungsi ini, jika mendukung, perlu ekstra hati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan ketat.
Menyusun rencana penyelamatan aset yang komprehensif. Jika terkena penipuan tetapi masih memiliki token di platform lain, perlu berhati-hati dalam menarik dan mentransfer. Bisa mempertimbangkan untuk menggunakan transfer MEV atau mencari bantuan tim keamanan profesional, agar menghindari peretasan kembali.
Kedepannya, phishing berbasis Permit2 mungkin akan semakin meningkat. Metode phishing dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Harap pembaca dapat menyebarkan informasi ini untuk membantu lebih banyak orang terhindar dari kerugian.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
5
Posting ulang
Bagikan
Komentar
0/400
LeverageAddict
· 14jam yang lalu
Tanda tangan lagi-lagi dicuri Ha orang
Lihat AsliBalas0
wagmi_eventually
· 14jam yang lalu
Jangan tanda tangan lagi, jebakan sudah datang...
Lihat AsliBalas0
rug_connoisseur
· 14jam yang lalu
Sebelum menandatangani, pikirkanlah dengan matang. Jangan tergoda dengan keuntungan kecil.
Lihat AsliBalas0
DaoGovernanceOfficer
· 15jam yang lalu
*sigh* lagi-lagi sebuah eksploit yang seharusnya bisa dicegah dengan prinsip desain protokol dasar...
Lihat AsliBalas0
HallucinationGrower
· 15jam yang lalu
Jangan tanda tangan lagi, melihatnya saja sudah pusing.
Waspadai phising tanda tangan Permit2 baru untuk melindungi keamanan aset pengguna DEX
Tanda tangan dicuri? Mengungkap penipuan phishing tanda tangan Uniswap Permit2
Hacker adalah keberadaan yang menakutkan dalam ekosistem Web3. Bagi pengembang proyek, sifat kode sumber terbuka membuat mereka merasa seperti berjalan di atas es tipis saat mengembangkan, takut menulis satu baris kode yang salah dan meninggalkan celah. Begitu terjadi insiden keamanan, konsekuensinya sulit untuk ditanggung.
Bagi pengguna individu, jika tidak memahami makna dari setiap tindakan yang dilakukan, setiap interaksi atau tanda tangan di blockchain dapat berpotensi mengakibatkan pencurian aset. Oleh karena itu, masalah keamanan selalu menjadi salah satu tantangan terbesar di dunia kripto. Mengingat sifat blockchain, begitu aset dicuri hampir tidak mungkin untuk dipulihkan, maka memiliki pengetahuan tentang keamanan sangat penting di dunia kripto.
Belakangan ini, seorang peneliti menemukan metode phishing baru yang aktif selama hampir dua bulan terakhir. Cara ini hanya memerlukan tanda tangan yang dapat mengakibatkan pencurian aset, metode ini sangat tersembunyi dan sulit untuk dicegah. Yang lebih buruk, alamat yang pernah berinteraksi dengan DEX tertentu dapat menghadapi risiko. Artikel ini akan memberikan penjelasan tentang metode phishing tanda tangan ini, untuk menghindari lebih banyak pengguna mengalami kerugian aset.
Kejadian ini dimulai dengan insiden pencurian aset teman bernama ( Xiao A ). Berbeda dengan kasus pencurian yang umum, Xiao A tidak membocorkan kunci privatnya, dan juga tidak berinteraksi dengan kontrak yang mencurigakan. Melalui penjelajah blockchain, terlihat bahwa USDT di dompet Xiao A dipindahkan melalui fungsi Transfer From. Ini berarti alamat lain yang melakukan tindakan untuk mengeluarkan Token, bukan kebocoran kunci privat dompet.
Detail transaksi menunjukkan:
Masalah kunci adalah, bagaimana alamat ini mendapatkan izin untuk aset kecil A? Mengapa terkait dengan DEX tertentu?
Untuk memanggil fungsi Transfer From, syaratnya adalah pihak yang memanggil perlu memiliki izin limit token tersebut (approve). Sebelum memindahkan aset kecil A dari alamat tersebut, juga dilakukan operasi Permit, di mana kedua objek interaksi tersebut adalah kontrak Permit2 dari DEX tertentu.
Kontrak Permit2 dari suatu DEX adalah kontrak pintar baru yang diluncurkan oleh bursa tersebut pada akhir tahun 2022. Ini memungkinkan otorisasi token untuk berbagi dan mengelola di berbagai aplikasi, bertujuan untuk menciptakan pengalaman pengguna yang lebih terpadu, lebih hemat biaya, dan lebih aman. Di masa depan, seiring dengan semakin banyak proyek yang mengintegrasikan Permit2, diharapkan akan ada standar persetujuan Token di semua aplikasi, sehingga mengurangi biaya transaksi dan meningkatkan pengalaman pengguna.
Dalam cara interaksi tradisional, pengguna perlu memberikan otorisasi secara terpisah setiap kali berinteraksi dengan DApp untuk aset. Permit2 berfungsi sebagai perantara antara pengguna dan DApp, di mana pengguna hanya perlu memberikan otorisasi Token kepada kontrak Permit2, dan semua DApp yang mengintegrasikan kontrak tersebut dapat berbagi batas otorisasi ini. Ini secara signifikan mengurangi biaya interaksi pengguna dan meningkatkan pengalaman.
Namun, Permit2 juga merupakan pedang bermata dua. Ini mengubah operasi pengguna menjadi tanda tangan off-chain, dengan semua operasi on-chain dilakukan oleh pihak perantara. Manfaat yang dihadirkan adalah, bahkan jika dompet pengguna tidak memiliki ETH, mereka dapat menggunakan Token lain untuk membayar biaya Gas atau ditanggung oleh pihak perantara. Namun, tanda tangan off-chain justru merupakan tahap yang paling mudah diabaikan oleh pengguna.
Untuk memicu penipuan tanda tangan Permit2 ini, syarat kuncinya adalah dompet perlu memiliki otorisasi Token untuk kontrak Permit2 dari DEX tertentu. Saat ini, setiap kali melakukan Swap di DApp yang terintegrasi dengan Permit2 atau di DEX tersebut, otorisasi semacam ini diperlukan. Yang lebih mengkhawatirkan adalah, tidak peduli berapa jumlah yang ingin di-Swap, kontrak Permit2 akan secara default memungkinkan pengguna untuk mengotorisasi seluruh saldo Token tersebut.
Ini berarti, selama Anda berinteraksi dengan DEX tersebut setelah tahun 2023 dan memberikan izin kepada kontrak Permit2, Anda mungkin terpapar pada risiko penipuan ini. Hacker memanfaatkan fungsi Permit, untuk memindahkan batas token yang Anda berikan kepada kontrak Permit2 ke alamat lain dengan tanda tangan Anda. Setelah mendapatkan tanda tangan Anda, mereka dapat memindahkan aset di dompet Anda.
Saat ini teramati, kontrak Permit2 dari suatu DEX telah menjadi "surga" bagi penipu, dan sepertinya penipuan tanda tangan Permit2 ini baru mulai aktif dua bulan yang lalu. Dalam catatan interaksi kontrak, sebagian besar adalah alamat penipuan yang telah ditandai, dan terus ada orang yang terjebak.
Mengingat bahwa kontrak Permit2 mungkin menjadi lebih umum di masa depan, lebih banyak proyek mungkin akan mengintegrasikannya untuk berbagi otorisasi, berikut adalah beberapa saran pencegahan yang efektif:
Pisahkan penggunaan aset dan dompet interaksi. Simpan aset besar di dompet dingin, sementara dompet interaksi sehari-hari hanya menyimpan sejumlah kecil dana, yang dapat secara signifikan mengurangi kerugian akibat phishing.
Berhati-hati dalam memberikan kuota kontrak Permit2. Saat melakukan Swap, hanya berikan kuota yang diperlukan. Meskipun setiap interaksi yang memerlukan otorisasi ulang akan meningkatkan biaya, ini dapat menghindari penipuan tanda tangan Permit2. Otorisasi yang telah diberikan dapat dibatalkan melalui plugin keamanan.
Memahami apakah token mendukung fungsi permit. Perhatikan apakah token yang Anda miliki mendukung fungsi ini, jika mendukung, perlu ekstra hati-hati dan memeriksa setiap tanda tangan yang tidak dikenal dengan ketat.
Menyusun rencana penyelamatan aset yang komprehensif. Jika terkena penipuan tetapi masih memiliki token di platform lain, perlu berhati-hati dalam menarik dan mentransfer. Bisa mempertimbangkan untuk menggunakan transfer MEV atau mencari bantuan tim keamanan profesional, agar menghindari peretasan kembali.
Kedepannya, phishing berbasis Permit2 mungkin akan semakin meningkat. Metode phishing dengan tanda tangan ini sangat tersembunyi dan sulit untuk dicegah. Seiring dengan meluasnya penggunaan Permit2, alamat yang terpapar risiko juga akan meningkat. Harap pembaca dapat menyebarkan informasi ini untuk membantu lebih banyak orang terhindar dari kerugian.