Pencurian USDC Melalui Tanda Tangan Permit Berbahaya
Seorang peretas berhasil mencuri lebih dari $440,000 dalam USDC setelah pemilik dompet tanpa sadar menandatangani tanda tangan “permit” yang berbahaya, menurut tweet dari Scam Sniffer pada hari Senin. Pencurian ini terjadi di tengah lonjakan kerugian akibat phishing. Sekitar $7.77 juta telah diambil dari lebih dari 6,000 korban pada bulan November, menurut laporan bulanan Scam Sniffer, yang menunjukkan lonjakan 137% dalam total kerugian dibandingkan bulan Oktober, meskipun jumlah korban menurun sebesar 42%.
“Perburuan ikan paus semakin intensif dengan pencurian tertinggi mencapai $1.22 juta (tanda tangan permit). Meskipun serangan berkurang, kerugian individu meningkat secara signifikan,” catat perusahaan tersebut.
Metode Penipuan Berbasis Permit
Penipuan berbasis permit berputar di sekitar menipu pengguna untuk menandatangani transaksi yang terlihat sah tetapi diam-diam memberikan hak kepada penyerang untuk membelanjakan token mereka. Dapps berbahaya dapat menyamarkan kolom, memalsukan nama kontrak, atau menyajikan permintaan tanda tangan sebagai sesuatu yang rutin. Jika seorang pengguna gagal memeriksa detailnya, menandatangani permintaan tersebut secara efektif memberikan izin kepada penyerang untuk mengakses semua token ERC-20 pengguna. Setelah diberikan, penipu biasanya segera menguras dana tersebut.
Metode ini mengeksploitasi fungsi permit Ethereum, yang dirancang untuk mempermudah transfer token dengan memungkinkan pengguna mendelegasikan hak belanja kepada aplikasi tepercaya. Kenyamanan ini menjadi kerentanan ketika hak tersebut diberikan kepada penyerang.
“Apa yang sangat rumit tentang jenis serangan ini adalah bahwa penyerang dapat melakukan permit dan transfer token dalam satu transaksi (pendekatan smash and grab) atau mereka dapat memberikan diri mereka akses melalui permit dan kemudian berdiam diri menunggu untuk mentransfer dana yang ditambahkan kemudian (selama mereka menetapkan tenggat waktu akses yang cukup jauh dalam metadata fungsi permit),” kata Tara Annison, kepala produk di Twinstake, kepada Decrypt.
Pentingnya Kewaspadaan
Annison menekankan bahwa, “Keberhasilan jenis penipuan ini bergantung pada Anda menandatangani sesuatu yang tidak Anda sadari apa yang akan dilakukannya,” menekankan bahwa, “Ini semua tentang kerentanan manusia dan memanfaatkan keinginan orang-orang.” Annison menambahkan bahwa insiden ini jauh dari terisolasi. “Ada banyak contoh penipuan phishing dengan nilai besar dan volume tinggi yang dirancang untuk menipu pengguna agar menandatangani sesuatu yang tidak mereka pahami sepenuhnya. Sering kali dilakukan dengan menyamar sebagai airdrop gratis, halaman pendaratan proyek palsu untuk menghubungkan dompet Anda, atau peringatan keamanan palsu untuk memeriksa apakah Anda telah terpengaruh,” tambahnya.
Langkah Perlindungan dari Penyedia Dompet
Penyedia dompet telah meluncurkan lebih banyak fitur perlindungan. MetaMask, misalnya, memperingatkan pengguna jika sebuah situs tampak mencurigakan dan berusaha menerjemahkan data transaksi menjadi niat yang dapat dibaca manusia. Dompet lain juga menyoroti tindakan berisiko tinggi. Namun, penipu terus beradaptasi.
Harry Donnelly, pendiri dan CEO Circuit, mengatakan kepada Decrypt bahwa serangan gaya permit “cukup luas” dan mendesak pengguna untuk memeriksa alamat pengirim dan detail kontrak. “Itu adalah cara paling jelas untuk mengetahui bahwa jika itu adalah protokol yang tidak cocok dengan tempat Anda sebenarnya mencoba mengirim dana, maka kemungkinan besar itu adalah seseorang yang mencoba mencuri dana,” katanya.
Pentingnya Memahami Transaksi
Annison menekankan bahwa kewaspadaan masih merupakan pertahanan terkuat pengguna. “Cara terbaik untuk melindungi diri Anda dari penipuan permit, approveAll, atau transferFrom adalah memastikan bahwa Anda tahu apa yang Anda tandatangani. Tindakan apa yang sebenarnya akan dilakukan dalam transaksi? Fungsi apa yang digunakan? Apakah ini sesuai dengan apa yang Anda kira Anda tandatangani?”
Banyak dompet dan dapps telah meningkatkan antarmuka pengguna untuk memastikan bahwa Anda tidak menandatangani sesuatu secara membabi buta dan dapat melihat apa yang akan dihasilkan, serta peringatan untuk fungsi berisiko tinggi yang digunakan. Namun, penting bagi pengguna untuk secara aktif memeriksa apa yang mereka tandatangani dan tidak hanya menghubungkan dompet mereka dan menekan tanda tangan.
Pemulihan Dana yang Hilang
Setelah dicuri, pemulihan dana hampir tidak mungkin dilakukan. Martin Derka, salah satu pendiri dan pemimpin teknis di Zircuit Finance, mengatakan kepada Decrypt bahwa peluang untuk mendapatkan kembali dana tersebut adalah “sebenarnya nol.” “Dalam serangan phishing, Anda berurusan dengan individu yang seluruh tujuannya adalah mengambil dana Anda. Tidak ada negosiasi, tidak ada titik kontak, dan sering kali tidak ada ide siapa pihak lawan,” katanya.
“Para penyerang ini memainkan permainan angka,” kata Derka, menambahkan bahwa, “Setelah uangnya hilang, itu hilang. Pemulihan pada dasarnya tidak mungkin.”
