Potensi Perangkap di Dunia Blockchain: Bagaimana smart contract Bisa Menjadi Senjata Serangan
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi revolusi ini juga membawa tantangan baru. Penipu tidak lagi hanya memanfaatkan celah teknologi, melainkan mengubah smart contract blockchain itu sendiri menjadi alat serangan. Melalui perangkap rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan blockchain untuk mengubah kepercayaan pengguna menjadi alat untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilan "legal"-nya. Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana penipu memanfaatkan protokol untuk menyerang, dan memberikan strategi perlindungan yang komprehensif, membantu pengguna bergerak dengan aman di dunia terdesentralisasi.
I. Bagaimana Protokol Dapat Diubah Menjadi Alat Penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode umum dan rincian teknisnya:
(1) Otorisasi smart contract jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat aplikasi terdesentralisasi yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet mereka dan dipicu untuk mengklik "Approve", yang secara permukaan tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya mungkin merupakan batas tanpa batas. Setelah izin diberikan, alamat kontrak penipu mendapatkan hak akses, dan dapat kapan saja memanggil fungsi "TransferFrom", untuk menarik semua token terkait dari dompet pengguna.
Contoh:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai pembaruan DEX menyebabkan ratusan pengguna kehilangan sejumlah besar stablecoin dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban sulit untuk memulihkan aset mereka melalui jalur hukum karena otorisasi ditandatangani secara sukarela.
(2) tanda tangan phishing
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah pengguna mengonfirmasi, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani sebuah "transaksi verifikasi". Transaksi ini sebenarnya bisa jadi memanggil fungsi "Transfer", yang langsung memindahkan aset di dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberikan wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Contoh:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan siapa saja mengirim token ke alamat mana pun, bahkan jika penerima tidak meminta secara aktif. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja:
Penyerang mengirim sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian mencoba untuk mengetahui alamat mana yang milik dompet yang sama. Selanjutnya, penyerang memanfaatkan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban. Dalam banyak kasus, "debu" ini diberikan dalam bentuk airdrop ke dompet pengguna, token-token ini mungkin memiliki nama atau metadata yang menarik, yang mendorong pengguna untuk mengunjungi situs web untuk memeriksa detail.
Contoh:
Dulu, serangan debu dari "token gratis" yang muncul di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme sah Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban seringkali baru menyadari akibat dari otorisasi atau tanda tangan setelahnya.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang cerdik: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet mata uang kripto Anda?
Menghadapi penipuan yang menggabungkan teknologi dan perang psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak otorisasi
Gunakan alat on-chain untuk memeriksa catatan otorisasi dompet.
Secara berkala mencabut otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak dikenal.
Sebelum memberikan otorisasi, pastikan aplikasi berasal dari sumber yang terpercaya.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan dalam media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter yang berlebihan.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan ganda, yang memerlukan beberapa kunci untuk mengonfirmasi transaksi.
Hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan cermat rincian transaksi di jendela pop-up dompet setiap kali melakukan tanda tangan.
Gunakan fungsi analisis dari Blockchain explorer untuk memahami konten tanda tangan.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.
menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi sumber token melalui Blockchain Explorer, jika pengiriman massal, waspadai dengan tinggi.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan yang disebutkan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat lanjut. Namun, keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku on-chain adalah benteng terakhir untuk melawan serangan.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan terpenting selalu berada pada: menginternalisasi kesadaran akan keamanan sebagai kebiasaan, serta membangun keseimbangan antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap tindakan dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, tetap waspada dan bertindak dengan hati-hati sangat penting.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
23 Suka
Hadiah
23
9
Posting ulang
Bagikan
Komentar
0/400
CryptoCross-TalkClub
· 9jam yang lalu
Cuma ini? Suckers baru malah sulit untuk dipermainkan, setelah selesai langsung panen suckers lama.
Lihat AsliBalas0
TradFiRefugee
· 22jam yang lalu
Kopi yang saya tuangkan belum dingin, pump sudah datang.
Lihat AsliBalas0
StablecoinArbitrageur
· 08-12 14:59
*sigh* peserta pasar yang tidak efisien terkena dampak lagi... secara statistik tidak terhindarkan dengan vektor serangan ini sejujurnya
Lihat AsliBalas0
RugDocDetective
· 08-10 13:58
pemula masuk tanpa melihat tutorial, suckers menjadi standar pemotongan.
Lihat AsliBalas0
Degentleman
· 08-10 13:58
lagi-lagi dipermainkan, sudah ingat
Lihat AsliBalas0
MondayYoloFridayCry
· 08-10 13:58
Ayo semangat lagi dan nikmati!
Lihat AsliBalas0
RooftopVIP
· 08-10 13:52
suckers已割到底 真不怕Kriptografi了
Lihat AsliBalas0
RetailTherapist
· 08-10 13:49
Wah, satu lebih canggih dari yang lainnya jebakan.
Metode Penipuan Kontrak Pintar Baru: Dari Phishing Otorisasi Hingga Serangan Debu, Panduan Lengkap untuk Melindungi Aset
Potensi Perangkap di Dunia Blockchain: Bagaimana smart contract Bisa Menjadi Senjata Serangan
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi revolusi ini juga membawa tantangan baru. Penipu tidak lagi hanya memanfaatkan celah teknologi, melainkan mengubah smart contract blockchain itu sendiri menjadi alat serangan. Melalui perangkap rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan blockchain untuk mengubah kepercayaan pengguna menjadi alat untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilan "legal"-nya. Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana penipu memanfaatkan protokol untuk menyerang, dan memberikan strategi perlindungan yang komprehensif, membantu pengguna bergerak dengan aman di dunia terdesentralisasi.
I. Bagaimana Protokol Dapat Diubah Menjadi Alat Penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode umum dan rincian teknisnya:
(1) Otorisasi smart contract jahat
Prinsip Teknologi: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja: Penipu membuat aplikasi terdesentralisasi yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet mereka dan dipicu untuk mengklik "Approve", yang secara permukaan tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya mungkin merupakan batas tanpa batas. Setelah izin diberikan, alamat kontrak penipu mendapatkan hak akses, dan dapat kapan saja memanggil fungsi "TransferFrom", untuk menarik semua token terkait dari dompet pengguna.
Contoh: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai pembaruan DEX menyebabkan ratusan pengguna kehilangan sejumlah besar stablecoin dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban sulit untuk memulihkan aset mereka melalui jalur hukum karena otorisasi ditandatangani secara sukarela.
(2) tanda tangan phishing
Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah pengguna mengonfirmasi, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani sebuah "transaksi verifikasi". Transaksi ini sebenarnya bisa jadi memanggil fungsi "Transfer", yang langsung memindahkan aset di dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberikan wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Contoh: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan siapa saja mengirim token ke alamat mana pun, bahkan jika penerima tidak meminta secara aktif. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja: Penyerang mengirim sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian mencoba untuk mengetahui alamat mana yang milik dompet yang sama. Selanjutnya, penyerang memanfaatkan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban. Dalam banyak kasus, "debu" ini diberikan dalam bentuk airdrop ke dompet pengguna, token-token ini mungkin memiliki nama atau metadata yang menarik, yang mendorong pengguna untuk mengunjungi situs web untuk memeriksa detail.
Contoh: Dulu, serangan debu dari "token gratis" yang muncul di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme sah Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban seringkali baru menyadari akibat dari otorisasi atau tanda tangan setelahnya.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang cerdik: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet mata uang kripto Anda?
Menghadapi penipuan yang menggabungkan teknologi dan perang psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak otorisasi
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
menghadapi serangan debu
Kesimpulan
Dengan menerapkan langkah-langkah keamanan yang disebutkan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat lanjut. Namun, keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku on-chain adalah benteng terakhir untuk melawan serangan.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan terpenting selalu berada pada: menginternalisasi kesadaran akan keamanan sebagai kebiasaan, serta membangun keseimbangan antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap tindakan dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, tetap waspada dan bertindak dengan hati-hati sangat penting.