Apa yang Ditunjukkan oleh Peretasan $440.000 Tentang Ancaman Meningkat dari 'Permit Scam' di Ethereum

Singkatnya

• Seorang pemegang USDC kehilangan lebih dari $440.000 setelah menandatangani transaksi “permit” berbahaya.
• Serangan phishing “permit” menjadi penyebab beberapa kerugian kripto individu terbesar di bulan November.
• Para ahli memperingatkan bahwa penipu mengandalkan kesalahan manusia dan pemulihan dana sangat tidak mungkin.

Pusat Seni, Fashion, dan Hiburan Decrypt.

Temukan SCENE

Seorang peretas berhasil membawa kabur lebih dari $440.000 dalam bentuk USDC setelah pemilik dompet tanpa sadar menandatangani tanda tangan “permit” berbahaya, menurut cuitan dari Scam Sniffer pada hari Senin.

Kejadian pencurian ini terjadi di tengah lonjakan kerugian akibat phishing. Sekitar $7,77 juta disedot dari lebih dari 6.000 korban pada bulan November, menurut laporan bulanan Scam Sniffer, yang menunjukkan kenaikan 137% dari total kerugian di bulan Oktober, meskipun jumlah korban turun 42%.

🚨 Seseorang kehilangan $440.358 di $USDC setelah menandatangani tanda tangan “permit” berbahaya. pic.twitter.com/USjHRUY3Lc

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 8 Desember 2025

“Perburuan paus meningkat dengan pencurian tertinggi sebesar $1,22 juta (tanda tangan permit). Meskipun serangan lebih sedikit, kerugian individu meningkat secara signifikan,” catat perusahaan tersebut.

Apa itu scam permit?

Penipuan berbasis permit berputar pada upaya menipu pengguna agar menandatangani transaksi yang terlihat sah tetapi diam-diam memberikan penyerang hak untuk membelanjakan token mereka. Dapp berbahaya dapat menyamarkan kolom, memalsukan nama kontrak, atau menyajikan permintaan tanda tangan seolah-olah merupakan hal rutin.

Jika pengguna gagal memeriksa detailnya, menandatangani permintaan tersebut pada dasarnya memberikan izin kepada penyerang untuk mengakses semua token ERC-20 milik pengguna. Setelah izin diberikan, scammer biasanya langsung menguras dana.

Metode ini memanfaatkan fungsi permit Ethereum, yang dirancang untuk memudahkan transfer token dengan memungkinkan pengguna mendelegasikan hak pembelanjaan ke aplikasi tepercaya. Kenyamanan ini menjadi kerentanan saat hak tersebut diberikan kepada penyerang.

“Yang sangat rumit dari jenis serangan ini adalah penyerang bisa saja melakukan permit dan transfer token dalam satu transaksi (pendekatan smash and grab) atau mereka bisa memberikan akses melalui permit dan kemudian berdiam diri menunggu untuk mentransfer dana yang ditambahkan kemudian (selama mereka menetapkan tenggat waktu akses yang cukup lama di metadata fungsi permit),” kata Tara Annison, kepala produk di Twinstake, kepada Decrypt.

“Keberhasilan scam jenis ini bergantung pada Anda yang menandatangani sesuatu tanpa benar-benar menyadari apa akibatnya,” tambahnya, “Semua ini tentang kerentanan manusia dan memanfaatkan keinginan orang.”

Annison menambahkan bahwa insiden ini jauh dari kasus terisolasi. “Ada banyak contoh scam phishing bernilai besar dan volume tinggi yang dirancang untuk menipu pengguna menandatangani sesuatu yang tidak mereka pahami sepenuhnya. Sering dilakukan dengan kedok airdrop gratis, halaman landing proyek palsu untuk menghubungkan dompet Anda, atau peringatan keamanan palsu untuk memeriksa apakah Anda terdampak,” tambahnya.

Cara melindungi diri

Penyedia dompet telah meluncurkan lebih banyak fitur perlindungan. MetaMask, misalnya, memperingatkan pengguna jika sebuah situs terlihat mencurigakan dan mencoba menerjemahkan data transaksi ke maksud yang mudah dibaca manusia. Dompet lain juga menyoroti tindakan berisiko tinggi. Namun scammer terus beradaptasi.

Harry Donnelly, pendiri dan CEO Circuit, mengatakan kepada Decrypt bahwa serangan gaya permit “cukup meluas” dan menyarankan pengguna untuk memeriksa alamat pengirim dan detail kontrak.

“Itu cara paling jelas untuk tahu jika itu protokol yang tidak sesuai dengan tujuan Anda mengirim dana, kemungkinan besar itu seseorang yang mencoba mencuri dana,” katanya. “Anda bisa memeriksa jumlahnya, seringkali mereka mencoba memberikan persetujuan tak terbatas, seperti itu.”

Annison menegaskan bahwa kewaspadaan tetap menjadi pertahanan terkuat bagi pengguna. “Cara terbaik melindungi diri dari scam permit, approveAll, atau transferFrom adalah memastikan Anda tahu apa yang Anda tandatangani. Tindakan apa yang sebenarnya akan dilakukan dalam transaksi? Fungsi apa yang digunakan? Apakah ini sesuai dengan yang Anda pikirkan saat menandatangani?”

“Banyak dompet dan dapp telah meningkatkan antarmuka pengguna untuk memastikan Anda tidak secara membabi buta menandatangani sesuatu dan bisa melihat hasilnya, serta peringatan untuk fungsi berisiko tinggi yang digunakan. Namun, penting bagi pengguna untuk secara aktif memeriksa apa yang mereka tandatangani dan tidak sekadar menghubungkan dompet lalu langsung klik tanda tangan,” ujarnya.

Setelah dicuri, pemulihan dana sangat tidak mungkin. Martin Derka, salah satu pendiri dan pimpinan teknis di Zircuit Finance mengatakan kepada Decrypt bahwa peluang mendapatkan dana kembali adalah “hampir nol.”

“Dalam serangan phishing, Anda berhadapan dengan individu yang seluruh tujuannya adalah mengambil dana Anda. Tidak ada negosiasi, tidak ada kontak, dan seringkali tidak diketahui siapa lawan transaksinya,” ujarnya.

“Para penyerang ini bermain dengan angka,” kata Derka, menambahkan, “Begitu uang hilang, ya hilang. Pemulihan pada dasarnya mustahil.”