Dunia Blockchain dan Perangkap Keamanannya: Mengungkap Penipuan Smart Contract
Cryptocurrency dan teknologi Blockchain sedang mengubah lanskap keuangan, tetapi juga membawa ancaman keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi mengubah smart contract Blockchain itu sendiri menjadi alat serangan. Mereka menggunakan metode rekayasa sosial yang dirancang dengan cermat, memanfaatkan transparansi dan ketidakberubahan Blockchain untuk mengubah kepercayaan pengguna menjadi cara untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilan "legal"-nya. Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan strategi perlindungan yang komprehensif.
I. Bagaimana Protokol yang Sah Menjadi Alat Penipuan?
Protokol Blockchain awalnya dirancang untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, dipadukan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan rincian teknisnya:
(1) izin smart contract berbahaya
Prinsip teknis:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek legal, menggoda pengguna untuk menghubungkan dompet dan memberikan izin. Secara permukaan hanya memberikan izin untuk sejumlah kecil token, tetapi sebenarnya mungkin memiliki batasan tak terbatas. Begitu izin selesai, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Kasus nyata:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "Upgrade Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga para korban sulit untuk memulihkan aset mereka melalui jalur hukum.
(2) tanda tangan phishing
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan legalitas transaksi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan guna mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, diarahkan ke situs web jahat yang meminta untuk menghubungkan dompet dan menandatangani "verifikasi transaksi". Transaksi ini mungkin secara langsung memindahkan aset pengguna atau memberikan penipu kontrol atas koleksi NFT pengguna.
Kasus nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "penerimaan airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang terlihat aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet, melacak aktivitas dompet dan mengaitkannya dengan individu atau perusahaan.
Cara kerja:
Penipu mengirimkan "debu" ke dompet pengguna dalam bentuk airdrop, token-token ini mungkin memiliki nama atau metadata yang menyesatkan. Pengguna mungkin mencoba untuk menukarkan token-token ini, sehingga memungkinkan penyerang untuk mengakses dompet pengguna melalui alamat kontrak.
Kasus nyata:
Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit dikenali?
Kejadian penipuan ini berhasil terutama karena mereka bersembunyi di balik mekanisme legal Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legitimasi di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban seringkali baru menyadari masalah setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan kemanusiaan, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola hak akses
Gunakan alat pemeriksaan otorisasi untuk secara berkala memeriksa catatan otorisasi dompet.
Cabut otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas terhadap alamat yang tidak dikenal.
Sebelum memberikan otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter tambahan pada nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Gunakan alat tanda tangan ganda untuk aset besar, yang mengharuskan beberapa kunci untuk mengonfirmasi transaksi.
Harap perlakukan permintaan tanda tangan dengan hati-hati
Bacalah dengan seksama rincian transaksi di jendela pop-up dompet.
Gunakan fungsi analisis pada blockchain explorer untuk menganalisis konten tanda tangan.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.
Menghadapi serangan debu
Setelah menerima token yang tidak jelas, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi asal token melalui Blockchain explorer, waspadai pengiriman massal.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada perlindungan teknologi, tetapi juga memerlukan pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain. Setiap analisis data sebelum menandatangani, setiap pemeriksaan izin setelah otorisasi, adalah pemeliharaan kedaulatan digital diri sendiri.
Dalam dunia Blockchain di mana kode adalah hukum, setiap klik dan setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, menginternalisasi kesadaran akan keamanan sebagai kebiasaan dan menjaga keseimbangan antara kepercayaan dan verifikasi adalah kunci untuk melindungi aset digital.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
3
Bagikan
Komentar
0/400
ser_we_are_ngmi
· 20jam yang lalu
Sudah cukup makan semangka
Lihat AsliBalas0
FlashLoanLord
· 20jam yang lalu
jebakan terlalu dalam ya
Lihat AsliBalas0
fren.eth
· 20jam yang lalu
Jujur saja, lebih baik buta-buta saja menggosok shitcoin.
Pengungkapan Penipuan Smart Contract: Perangkap Keamanan Blockchain dan Strategi Perlindungan
Dunia Blockchain dan Perangkap Keamanannya: Mengungkap Penipuan Smart Contract
Cryptocurrency dan teknologi Blockchain sedang mengubah lanskap keuangan, tetapi juga membawa ancaman keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi mengubah smart contract Blockchain itu sendiri menjadi alat serangan. Mereka menggunakan metode rekayasa sosial yang dirancang dengan cermat, memanfaatkan transparansi dan ketidakberubahan Blockchain untuk mengubah kepercayaan pengguna menjadi cara untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilan "legal"-nya. Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan strategi perlindungan yang komprehensif.
I. Bagaimana Protokol yang Sah Menjadi Alat Penipuan?
Protokol Blockchain awalnya dirancang untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, dipadukan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan rincian teknisnya:
(1) izin smart contract berbahaya
Prinsip teknis: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek legal, menggoda pengguna untuk menghubungkan dompet dan memberikan izin. Secara permukaan hanya memberikan izin untuk sejumlah kecil token, tetapi sebenarnya mungkin memiliki batasan tak terbatas. Begitu izin selesai, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Kasus nyata: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "Upgrade Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga para korban sulit untuk memulihkan aset mereka melalui jalur hukum.
(2) tanda tangan phishing
Prinsip teknis: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan legalitas transaksi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan guna mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, diarahkan ke situs web jahat yang meminta untuk menghubungkan dompet dan menandatangani "verifikasi transaksi". Transaksi ini mungkin secara langsung memindahkan aset pengguna atau memberikan penipu kontrol atas koleksi NFT pengguna.
Kasus nyata: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "penerimaan airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang terlihat aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet, melacak aktivitas dompet dan mengaitkannya dengan individu atau perusahaan.
Cara kerja: Penipu mengirimkan "debu" ke dompet pengguna dalam bentuk airdrop, token-token ini mungkin memiliki nama atau metadata yang menyesatkan. Pengguna mungkin mencoba untuk menukarkan token-token ini, sehingga memungkinkan penyerang untuk mengakses dompet pengguna melalui alamat kontrak.
Kasus nyata: Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit dikenali?
Kejadian penipuan ini berhasil terutama karena mereka bersembunyi di balik mekanisme legal Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legitimasi di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban seringkali baru menyadari masalah setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan kemanusiaan, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola hak akses
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Harap perlakukan permintaan tanda tangan dengan hati-hati
Menghadapi serangan debu
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada perlindungan teknologi, tetapi juga memerlukan pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain. Setiap analisis data sebelum menandatangani, setiap pemeriksaan izin setelah otorisasi, adalah pemeliharaan kedaulatan digital diri sendiri.
Dalam dunia Blockchain di mana kode adalah hukum, setiap klik dan setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, menginternalisasi kesadaran akan keamanan sebagai kebiasaan dan menjaga keseimbangan antara kepercayaan dan verifikasi adalah kunci untuk melindungi aset digital.