Whale kehilangan lebih dari 6 juta USD karena menandatangani tanda tangan berbahaya

Sebuah paus kripto telah kehilangan lebih dari 6 juta USD termasuk Ethereum yang dipertaruhkan (stETH) dan Bitcoin yang dibungkus Aave (aEthWBTC) setelah secara tidak sengaja menyetujui tanda tangan berbahaya dalam serangan phishing pada 18/9, menurut perusahaan keamanan blockchain Scam Sniffer.

Menurut laporan, penyerang menyamarkan tindakan ini sebagai langkah konfirmasi dompet biasa melalui tanda tangan "Permit", menipu korban untuk mengizinkan transfer aset tanpa menunjukkan tanda peringatan.

Yu Xian, pendiri perusahaan keamanan SlowMist, mengatakan bahwa korban tidak menyadari bahaya karena transaksi tidak dikenakan biaya gas. Dia menulis:

"Dari sudut pandang korban, dia hanya menekan beberapa kali untuk mengonfirmasi jendela tanda tangan yang muncul dari dompet, tidak mengeluarkan biaya gas sedikitpun, dan 6,28 juta USD telah menghilang."

Cara kerja Permit exploit

Fungsi "Permit" dirancang untuk menyederhanakan transfer token. Alih-alih melakukan perintah on-chain dan membayar biaya gas, pengguna dapat menandatangani pesan off-chain untuk memberikan wewenang kepada pihak lain.

Namun, kenyamanan ini telah membuka permukaan serangan baru bagi penjahat. Ketika korban menandatangani "permit", penyerang dapat menggabungkan dua fungsi — Permit dan TransferFrom — untuk menarik aset secara langsung. Karena proses pemberian kuasa terjadi di luar rantai, dasbor dompet tidak menunjukkan aktivitas yang mencurigakan sampai aset tersebut dicabut.

Hasilnya adalah ketika transaksi dieksekusi on-chain, semua token telah dipindahkan ke dompet penyerang. Ini adalah celah yang membuat Permit exploit semakin menjadi alat favorit para hacker, memungkinkan mereka untuk menarik jutaan USD tanpa memerlukan teknik hacking yang rumit atau biaya gas yang mahal.

Kerugian dari phishing meningkat

Kasus kali ini mencerminkan tren peningkatan tajam dalam kampanye phishing.

Menurut Scam Sniffer, hanya pada bulan Agustus, penyerang telah mencuri 12,17 juta USD dari lebih dari 15.200 korban, meningkat 72% dibandingkan bulan Juli. Yang menarik, hampir setengah dari kerugian berasal dari tiga dompet besar, termasuk satu dompet yang kehilangan 3,08 juta USD hanya dalam satu kali.

Perusahaan berpendapat bahwa peningkatan ini terutama disebabkan oleh penipuan terkait EIP-7702 (batch-signature scam) dan pengguna secara tidak sengaja mengirim langsung ke kontrak berbahaya.

Dalam situasi ini, para ahli keamanan merekomendasikan pengguna cryptocurrency untuk sangat berhati-hati ketika menandatangani permintaan dari dompet, terutama menghindari memberikan akses tak terbatas kepada aset mereka.

Raja Tian