Tanda tangan yang mendebarkan! Enkripsi ikan paus kehilangan 6,28 juta dolar karena tanda tangan yang berbahaya.

Seorang raja aset kripto mengalami kerugian kekayaan yang mengejutkan pada 18 September, hanya karena satu operasi tanda tangan yang tampak tidak berbahaya, yang menyebabkan lebih dari 6 juta dolar AS dalam Ether yang dipertaruhkan (stETH) dan Bitcoin yang dibungkus Aave (aEthWBTC) dicuri. Perusahaan keamanan blockchain Scam Sniffer melaporkan bahwa investor ini secara tidak sengaja menyetujui tanda tangan "izin" jahat dalam serangan phishing yang dirancang dengan cermat, memungkinkan penyerang menguras dompetnya tanpa membayar biaya Gas.

"Serangan 'Tanpa Suara': Sekali Tanda Tangan, 6,28 Juta Dolar Hilang Seketika

（sumber：X）

Pendiri perusahaan keamanan SlowMist, Yu Xian, melakukan analisis mendetail tentang insiden ini dan mengungkapkan betapa mengerikannya serangan semacam ini. Dia menyatakan:

"Dari sudut pandang korban, dia hanya mengklik beberapa kali, mengonfirmasi tanda tangan yang muncul di dompet, tidak mengeluarkan sepeser pun untuk biaya gas, dan 6,28 juta dolar hilang."

Ketakutan dari serangan ini terletak pada sifatnya yang tersembunyi. Penyerang dengan cerdik menyamarkan operasi jahat sebagai langkah konfirmasi dompet yang biasa, membujuk korban untuk mengizinkan pemindahan aset tanpa menimbulkan peringatan. Karena transaksi tidak mengeluarkan Gas, korban sama sekali tidak menyadari bahaya hingga aset dipindahkan dan sudah terlambat.

「Izin」 celah: Risiko mematikan di balik kenyamanan

Serangan jenis ini memanfaatkan kerentanan pada fungsi yang disebut "Permit". Fungsi ini awalnya bertujuan untuk menyederhanakan proses transfer token: pengguna tidak perlu menjalankan perintah di blockchain dan membayar biaya Gas, cukup dengan menandatangani pesan off-chain untuk memberikan otorisasi kepada pihak ketiga.

Namun, kenyamanan ini juga membuka permukaan serangan baru bagi penyerang jahat. Ketika korban menandatangani "lisensi", penyerang dapat menggabungkan dua fungsi—Permit dan TransferFrom—untuk langsung menarik aset. Karena otorisasi dilakukan di luar rantai, dasbor dompet tidak akan menunjukkan aktivitas yang mencurigakan sebelum penarikan aset.

Akibatnya, ketika transaksi dilakukan di blockchain, semua koin dipindahkan ke dompet penyerang. Inilah celah yang membuat serangan Permit semakin disukai oleh para peretas, memungkinkan mereka untuk menarik jutaan dolar tanpa perlu teknik peretasan yang rumit atau biaya Gas yang mahal.

Serangan phishing meningkat: Kerugian mencapai 12,17 juta dolar pada bulan Agustus

Peristiwa ini bukanlah kasus terpisah, melainkan mencerminkan tren meningkatnya aktivitas phishing di internet. Menurut data statistik dari Scam Sniffer, hanya pada bulan Agustus, para penyerang telah mencuri 12,17 juta dolar dari lebih dari 15.200 korban, meningkat secara mencengangkan sebesar 72% dibandingkan bulan Juli.

Yang lebih mengkhawatirkan, hampir setengah dari kerugian berasal dari tiga dompet besar, salah satunya kehilangan 3,08 juta dolar dalam satu kejadian. Ini menunjukkan bahwa penyerang secara khusus menargetkan pemegang aset kripto bernilai tinggi.

Analisis Scam Sniffer menganggap bahwa pertumbuhan ini terutama disebabkan oleh penipuan yang terkait dengan EIP-7702 (penipuan tanda tangan massal) serta pengguna yang secara tidak sengaja menandatangani kontrak jahat secara langsung.

Saran Ahli: Cara Melindungi Aset Kripto Anda

Mengingat peningkatan serangan semacam ini, para ahli keamanan memberikan saran berikut untuk membantu pengguna aset kripto melindungi aset mereka:

· Tetap waspada terhadap semua permintaan tanda tangan dompet, terutama yang meminta akses tanpa batas ke aset.

· Menggunakan dompet keras yang mendukung pratinjau transaksi detail dapat membantu mengidentifikasi transaksi berbahaya.

· Periksa dengan cermat rincian transaksi sebelum menandatangani izin atau persetujuan apa pun, pastikan Anda memahami apa yang Anda otorisasi.

· Pertimbangkan untuk menggunakan dompet multisig atau menetapkan batas transaksi untuk mengurangi risiko titik kegagalan tunggal.

· Lakukan pemeriksaan berkala terhadap izin yang telah diberikan, dan cabut izin yang tidak lagi diperlukan.

Kejadian ini lagi-lagi mengingatkan kita bahwa di dunia Aset Kripto, bahkan tindakan yang paling sederhana pun dapat membawa risiko besar. Dengan penyerang yang terus mengembangkan metode penipuan baru, tetap waspada dan memahami ancaman keamanan terbaru menjadi lebih penting daripada sebelumnya.