Apa yang diungkapkan oleh serangan senilai US$ 440 ribu tentang ancaman yang semakin meningkat dari penipuan "izin" di Ethereum

Sumber: PortaldoBitcoin Judul Asli: Apa yang diungkapkan oleh serangan US$ 440.000 tentang ancaman meningkatnya penipuan “izin” di Ethereum Tautan Asli: Seorang hacker mencuri lebih dari US$ 440.000 dalam USDC setelah pemilik dompet secara tidak sadar menandatangani sebuah tanda tangan berbahaya berlabel “izin”.

Pencurian ini terjadi di tengah peningkatan kerugian akibat phishing. Sekitar US$ 7,77 juta hilang dari lebih dari 6.000 korban pada bulan November, menunjukkan peningkatan 137% dalam kerugian total dibandingkan Oktober, meskipun jumlah korban menurun sebesar 42%.

“Perburuan paus semakin intensif, dengan kerugian maksimum sebesar US$ 1,22 juta (penandatanganan izin). Meskipun jumlah serangan menurun, kerugian per individu meningkat secara signifikan.”

Apa itu penipuan izin?

Penipuan berbasis izin terdiri dari menipu pengguna agar menandatangani transaksi yang tampaknya sah, tetapi sebenarnya memberi penyerang hak untuk menghabiskan token mereka. Aplikasi terdesentralisasi (dapps) berbahaya dapat menyamarkan bidang, memalsukan nama kontrak, atau menampilkan permintaan tanda tangan sebagai sesuatu yang rutin.

Jika seorang pengguna tidak memeriksa detailnya dengan cermat, menandatangani permintaan tersebut memberi penyerang izin untuk mengakses semua token ERC-20 pengguna. Setelah izin diberikan, penipu biasanya langsung menguras dana tersebut.

Metode ini mengeksploitasi fungsi izin di Ethereum, yang dirancang untuk memudahkan transfer token, memungkinkan pengguna untuk mendelegasikan hak pengeluaran kepada aplikasi yang dipercaya. Kenyamanan ini menjadi kerentanan ketika hak tersebut diberikan kepada penyerang.

“Apa yang sangat rumit dari jenis serangan ini adalah bahwa penyerang dapat melakukan izin dan transfer token dalam satu transaksi (pendekatan ‘hancur dan rampok’) atau mereka dapat memperoleh akses melalui izin tersebut dan kemudian tetap tidak aktif, menunggu untuk mentransfer dana yang ditambahkan nanti (mengenai ketentuan waktu akses yang cukup panjang dalam metadata fungsi izin).”

“Keberhasilan dari jenis serangan ini bergantung pada Anda yang menandatangani sesuatu tanpa benar-benar memahami apa yang akan terjadi. Semuanya berkaitan dengan kerentanan manusia dan memanfaatkan kealasan orang.”

Ada banyak contoh penipuan phishing bernilai dan volume besar, yang dibuat untuk menipu pengguna dan membuat mereka menandatangani sesuatu yang tidak mereka pahami sepenuhnya. Serangan ini sering disamarkan sebagai distribusi uang gratis, halaman arahan palsu dari proyek untuk menghubungkan dompet mereka, atau peringatan keamanan palsu.

Bagaimana melindungi diri

Penyedia dompet digital telah menerapkan lebih banyak fitur perlindungan. MetaMask, misalnya, memberi peringatan kepada pengguna jika sebuah situs tampak mencurigakan dan berusaha menerjemahkan data transaksi ke dalam bahasa yang dapat dipahami manusia. Dompet lain juga menyoroti tindakan berisiko tinggi. Tetapi penipu terus beradaptasi.

Disarankan kepada pengguna untuk memeriksa alamat pengirim dan detail kontrak. “Ini adalah cara paling jelas untuk mengetahui apakah protokol tersebut tidak sesuai dengan tujuan sebenarnya dari dana, karena kemungkinan seseorang sedang berusaha mencurinya. Anda dapat memeriksa nilainya; sering kali mereka mencoba memberikan persetujuan tanpa batas.”

Pengawasan tetap menjadi pertahanan terbaik bagi pengguna. “Cara terbaik untuk melindungi diri dari penipuan ‘permit’ adalah memastikan bahwa Anda tahu apa yang sedang Anda tandatangani. Tindakan apa yang benar-benar akan dilakukan dalam transaksi? Fungsi apa yang digunakan? Apakah sesuai dengan apa yang Anda pikirkan saat menandatangani?”

“Banyak dompet dan aplikasi terdesentralisasi telah meningkatkan antarmuka pengguna mereka untuk memastikan Anda tidak menandatangani apa pun secara buta dan dapat melihat hasilnya, selain menampilkan peringatan tentang fungsi berisiko tinggi. Namun, penting bagi pengguna untuk secara aktif memeriksa apa yang mereka tandatangani dan tidak hanya menghubungkan dompet mereka dan mengklik tanda tangan.”

Setelah dicuri, pemulihan dana hampir tidak mungkin dilakukan. Dalam serangan phishing, Anda berhadapan dengan individu yang tujuan utamanya adalah mencuri dana Anda. Tidak ada negosiasi, tidak ada kontak, dan sering kali tidak ada ide siapa pihak lain tersebut.

“Penyerang ini bermain dengan angka. Setelah uang hilang, maka hilang selamanya. Pemulihan secara esensial tidak mungkin.”