Dalam beberapa tahun terakhir, dengan pesatnya perkembangan DeFi (keuangan terdesentralisasi), metode serangan phishing melalui smart contract juga terus berkembang, di mana otorisasi jahat (Malicious Approval) menjadi salah satu cara serangan yang paling umum digunakan oleh peretas. Berbeda dengan phishing tradisional, metode serangan ini lebih tersembunyi, dan pengguna sering kali tanpa disadari mengalami pencurian aset akibat tindakan otorisasi yang salah.
Prinsip serangan
Inti dari serangan otorisasi jahat adalah mengarahkan pengguna untuk memberikan hak akses operasi token pada kontrak jahat atau DApp phishing (aplikasi terdesentralisasi). Penyerang biasanya akan:
Membuat antarmuka DApp terkenal yang dipalsukan: Meniru platform seperti Uniswap, OpenSea, dan lainnya, menipu pengguna untuk menghubungkan dompet dan menandatangani transaksi otorisasi.
Menanamkan kontrak jahat: Dalam transaksi yang tampak normal, menyembunyikan fungsi approve atau increaseAllowance dengan hak akses tinggi untuk mendapatkan hak transfer token tanpa batas dari pengguna.
Memanfaatkan rekayasa sosial: Melalui airdrop, promosi palsu, dan cara lainnya, mengarahkan pengguna untuk berinteraksi dengan kontrak jahat.
Langkah pencegahan
Periksa catatan otorisasi: Secara berkala gunakan alat seperti Revoke.cash untuk membersihkan otorisasi yang tidak perlu.
Waspadai DApp yang tidak dikenal: Hindari mengklik tautan yang tidak jelas, utamakan mengakses platform DeFi melalui saluran resmi.
Tinjau detail transaksi: Sebelum menandatangani di dompet, periksa dengan cermat alamat kontrak dan batasan otorisasi untuk menghindari menandatangani permintaan approve yang mencurigakan.
Serangan otorisasi jahat telah menjadi ancaman signifikan bagi ekosistem DeFi, pengguna perlu meningkatkan kesadaran keamanan untuk menghindari kehilangan aset akibat kelalaian sesaat.
\u003ct-58/\u003e\u003cc-59/\u003e
