Peringatan Keamanan Blockchain: Pedang Bermata Dua dalam Otorisasi Smart Contract

Kryptocurrency dan teknologi blockchain sedang membentuk kembali definisi kebebasan finansial, tetapi revolusi ini juga menghadirkan risiko baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, melainkan mengubah protokol smart contract blockchain itu sendiri menjadi alat serangan. Mereka menggunakan jebakan rekayasa sosial yang dirancang dengan cermat, memanfaatkan transparansi dan ketidakberubahan blockchain, mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilan "legal" mereka. Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan menyediakan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu pengguna bergerak dengan aman di dunia terdesentralisasi.

I. Bagaimana perjanjian yang sah menjadi alat penipuan?

Tujuan dari protokol Blockchain adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, bersama dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode umum dan rincian teknisnya:

(1) otorisasi kontrak pintar jahat

Prinsip Teknologi:

Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga (biasanya smart contract) untuk menarik sejumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini digunakan secara luas dalam protokol DeFi, di mana pengguna perlu memberikan izin kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.

Cara Kerja:

Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan terdorong untuk mengklik "Approve", yang tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya bisa berupa batas tak terbatas (nilai uint256.max). Setelah pemberian izin selesai, alamat kontrak penipu mendapatkan hak untuk memanggil fungsi "TransferFrom" kapan saja, untuk menarik semua token yang sesuai dari dompet pengguna.

Kasus Nyata:

Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "Uniswap V3 upgrade" menyebabkan ratusan pengguna kehilangan jutaan dolar USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi ditandatangani secara sukarela.

(2) tanda tangan phishing

Prinsip Teknologi:

Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan legalitas transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah pengguna mengkonfirmasi, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.

Cara Kerja:

Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung mengirimkan ETH atau token dari dompet ke alamat penipu; atau dapat juga berupa operasi "SetApprovalForAll", memberikan izin kepada penipu untuk mengontrol koleksi NFT pengguna.

Kasus Nyata:

Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampaknya aman.

(3) Token palsu dan "serangan debu"

Prinsip Teknologi:

Keterbukaan Blockchain memungkinkan siapa pun mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.

Cara Kerja:

Penyerang mengirim jumlah kecil cryptocurrency ke alamat yang berbeda, kemudian mencoba mencari tahu alamat mana yang milik dompet yang sama. Dalam banyak kasus, "debu" ini diberikan kepada dompet pengguna dalam bentuk airdrop, mungkin dengan nama atau metadata yang menarik. Pengguna mungkin mencoba untuk mencairkan token ini, sehingga penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token. Yang lebih tersembunyi, penyerang akan menggunakan rekayasa sosial, menganalisis transaksi lanjutan pengguna, mengunci alamat dompet aktif pengguna, sehingga melakukan penipuan yang lebih tepat.

Kasus Nyata:

Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena penasaran untuk berinteraksi.

Dua, mengapa penipuan ini sulit terdeteksi?

Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, sehingga pengguna biasa sulit untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:

• Kompleksitas Teknologi: Kode smart contract dan permintaan tanda tangan sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai sekumpulan data heksadesimal, yang membuat pengguna tidak dapat dengan mudah menilai maknanya.

• **Legalitas di atas rantai: ** Semua transaksi dicatat di Blockchain, tampaknya transparan, tetapi korban sering kali baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset tidak dapat dipulihkan.

• Rekayasa Sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan. Misalnya, menjanjikan "mendapatkan token besar secara gratis" atau mengklaim "akun tidak normal perlu diverifikasi".

• Penyamaran yang Cerdik: Situs phishing mungkin menggunakan URL yang sangat mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.

Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?

Menghadapi penipuan yang memiliki unsur teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:

Periksa dan kelola hak otorisasi

• Secara berkala memeriksa catatan otorisasi dompet menggunakan alat pemeriksaan otorisasi dari penjelajah Blockchain.
• Batalkan otorisasi yang tidak perlu, terutama otorisasi tanpa batas untuk alamat yang tidak dikenal.
• Sebelum memberikan izin, pastikan DApp berasal dari sumber yang tepercaya.
• Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), harus segera dibatalkan.

Verifikasi tautan dan sumber

• Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
• Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
• Waspadai kesalahan ejaan atau karakter tambahan dalam nama domain.

menggunakan dompet dingin dan tanda tangan ganda

• Simpan sebagian besar aset di dompet perangkat keras dan hanya sambungkan ke jaringan saat diperlukan.
• Untuk aset besar, gunakan alat tanda tangan ganda yang meminta konfirmasi transaksi dari beberapa kunci.
• Bahkan jika dompet panas diretas, aset penyimpanan dingin tetap dapat aman.

Harap tangani permintaan tanda tangan dengan hati-hati

• Bacalah dengan cermat rincian transaksi di jendela dompet setiap kali Anda menandatangani.
• Gunakan fungsi dekode penjelajah Blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
• Buat dompet terpisah untuk operasi berisiko tinggi, simpan hanya sejumlah kecil aset.

Menghadapi serangan debu

• Setelah menerima token yang tidak dikenal, jangan berinteraksi dengannya. Tandai sebagai "sampah" atau sembunyikan.
• Konfirmasi asal token melalui blockchain browser, jika pengiriman dilakukan secara massal, harus sangat waspada.
• Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.

Kata Penutup

Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang sesungguhnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir dalam melawan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah pernyataan atas kedaulatan digital mereka sendiri.

Di masa depan, terlepas dari bagaimana teknologi berevolusi, garis pertahanan yang paling penting selalu terletak pada: menginternalisasi kesadaran keamanan menjadi memori otot, membangun keseimbangan abadi antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, tetap waspada dan bertindak hati-hati sangat penting.