Apa yang diungkapkan oleh serangan senilai US$ 440 ribu tentang ancaman yang semakin meningkat dari penipuan "izin" di Ethereum

Sumber: PortaldoBitcoin Judul Asli: Apa yang diungkapkan oleh serangan senilai US$ 440 ribu tentang ancaman yang semakin besar dari penipuan “izin” di Ethereum Tautan Asli: Seorang peretas mencuri lebih dari US$ 440.000 dalam USDC setelah pemilik dompet tanpa sadar menandatangani tanda tangan “izin” berbahaya, menurut sebuah tweet dari Scam Sniffer pada hari Senin (8).

Pencurian ini terjadi di tengah meningkatnya kerugian akibat phishing. Sekitar US$ 7,77 juta hilang dari lebih dari 6.000 korban pada bulan November, menurut laporan bulanan Scam Sniffer, mewakili peningkatan 137% dari total kerugian dibandingkan Oktober, meskipun jumlah korban turun 42%.

“Perburuan whale semakin intens, dengan kerugian maksimum sebesar US$ 1,22 juta (tanda tangan izin). Meskipun jumlah serangan menurun, kerugian individu meningkat secara signifikan,” kata perusahaan tersebut.

Apa itu penipuan izin?

Penipuan berbasis izin melibatkan upaya menipu pengguna untuk menandatangani transaksi yang tampak sah, namun sebenarnya memberikan hak kepada penyerang untuk membelanjakan token mereka. Aplikasi terdesentralisasi (dapps) berbahaya dapat menyamarkan kolom, memalsukan nama kontrak, atau menampilkan permintaan tanda tangan sebagai sesuatu yang rutin.

Jika pengguna tidak memeriksa detail dengan cermat, menandatangani permintaan tersebut memberikan izin kepada penyerang untuk mengakses semua token ERC-20 milik pengguna. Setelah izin diberikan, para penipu biasanya segera menguras dana.

Metode ini mengeksploitasi fungsi izin di Ethereum, yang dirancang untuk memudahkan transfer token, memungkinkan pengguna mendelegasikan hak pembelanjaan ke aplikasi tepercaya. Kenyamanan ini menjadi kerentanan ketika hak tersebut diberikan kepada penyerang.

“Yang membuat jenis serangan ini sangat rumit adalah penyerang dapat melakukan izin dan transfer token dalam satu transaksi (pendekatan ‘smash and grab’) atau mereka dapat memberi diri mereka akses melalui izin lalu tetap tidak aktif, menunggu untuk mentransfer dana yang ditambahkan kemudian (selama mereka menetapkan batas waktu akses yang cukup lama di metadata fungsi izin)”, kata Tara Annison, kepala produk Twinstake.

“Keberhasilan penipuan semacam ini bergantung pada Anda yang menandatangani sesuatu tanpa benar-benar memahami apa yang akan terjadi,” katanya, seraya menambahkan: “Semua ini bermuara pada kerentanan manusia dan mengambil keuntungan dari ketidaktahuan orang.”

Annison menambahkan bahwa insiden ini jauh dari kasus yang terisolasi. “Ada banyak contoh penipuan phishing dengan nilai dan volume besar, yang dibuat untuk menipu pengguna agar mereka menandatangani sesuatu yang tidak sepenuhnya mereka pahami. Sering kali, penipuan ini disamarkan sebagai airdrop, halaman arahan proyek palsu untuk menghubungkan dompet Anda, atau peringatan keamanan palsu untuk memeriksa apakah Anda terkena dampaknya,” tambahnya.

Cara melindungi diri

Penyedia dompet digital telah menerapkan lebih banyak fitur perlindungan. MetaMask, misalnya, memperingatkan pengguna jika sebuah situs tampak mencurigakan dan mencoba menerjemahkan data transaksi ke dalam bahasa yang mudah dipahami manusia. Dompet lain juga menyoroti aksi berisiko tinggi. Namun para penipu terus beradaptasi.

Harry Donnelly, pendiri dan CEO Circuit, mengatakan bahwa serangan “permit” seperti ini “cukup umum” dan menyarankan pengguna untuk memeriksa alamat pengirim dan detail kontrak.

“Inilah cara paling jelas untuk mengetahui apakah protokol tidak sesuai dengan tujuan dana yang sebenarnya, karena kemungkinan besar seseorang mencoba mencurinya,” katanya. “Anda juga dapat memeriksa nilainya; sering kali mereka mencoba memberikan persetujuan tanpa batas, seperti ini.”

Annison menekankan bahwa kewaspadaan masih merupakan pertahanan terbaik bagi pengguna. “Cara terbaik untuk melindungi diri dari penipuan jenis ‘permit’, ‘applianceAll’, atau ‘transferFrom’ adalah memastikan Anda tahu apa yang Anda tandatangani. Tindakan apa yang sebenarnya akan dilakukan pada transaksi tersebut? Fungsi apa yang digunakan? Apakah sesuai dengan yang Anda pikir Anda tanda tangani?”

“Banyak dompet dan aplikasi terdesentralisasi (dapps) telah meningkatkan antarmuka pengguna mereka untuk memastikan Anda tidak menandatangani apa pun secara sembarangan dan dapat melihat hasilnya, serta menampilkan peringatan tentang fungsi berisiko tinggi. Namun, penting bagi pengguna untuk secara aktif memeriksa apa yang mereka tandatangani dan tidak hanya sekadar menghubungkan dompet lalu menekan tombol tanda tangan,” katanya.

Setelah dana dicuri, pemulihan hampir tidak mungkin dilakukan. Martin Derka, salah satu pendiri dan kepala teknis Zircuit Finance, mengatakan bahwa peluang untuk mendapatkan kembali dana tersebut “hampir nol”.

“Dalam serangan phishing, Anda berhadapan dengan individu yang satu-satunya tujuan adalah mencuri dana Anda. Tidak ada negosiasi, tidak ada titik kontak, dan sering kali Anda bahkan tidak tahu siapa pihak lainnya,” katanya.

“Para penyerang ini bermain dengan angka,” kata Derka, seraya menambahkan bahwa “setelah uang hilang, uang itu hilang selamanya. Pemulihan pada dasarnya mustahil.”