Blockchain Keamanan: Bentuk Baru Penipuan Smart Contract dan Strategi Pencegahannya
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi perubahan ini juga membawa ancaman baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi malah mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Mereka menggunakan jebakan rekayasa sosial yang dirancang dengan cermat, memanfaatkan transparansi dan ketidakberbalikan Blockchain, mengubah kepercayaan pengguna menjadi alat untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilannya yang "legal". Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan menyediakan solusi komprehensif dari perlindungan teknologi hingga pencegahan perilaku, membantu pengguna bergerak aman di dunia terdesentralisasi.
I. Bagaimana perjanjian yang sah dapat berubah menjadi alat penipuan?
Tujuan dari protokol Blockchain adalah untuk menjamin keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode dan penjelasan rinci tentang teknologinya:
(1) Otorisasi smart contract jahat
Prinsip teknis:
Di Blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fungsi ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan izin kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, para penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan dipancing untuk mengklik "Approve", yang tampaknya memberikan otorisasi sejumlah kecil token, tetapi sebenarnya mungkin adalah batas tanpa batas (nilai uint256.max). Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat kapan saja memanggil fungsi "TransferFrom", untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus nyata:
Pada awal tahun 2023, situs phishing yang menyamar sebagai "Peningkatan Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi dilakukan secara sukarela.
(2) tanda tangan phishing
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi akan disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda menunggu untuk diambil, silakan verifikasi dompet". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung memindahkan ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll" yang memberikan izin kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus nyata:
Komunitas Bored Ape Yacht Club (BAYC) mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja:
Dalam banyak kasus, "debu" yang digunakan dalam serangan debu didistribusikan ke dompet pengguna dalam bentuk airdrop, dan token ini mungkin memiliki nama atau metadata (seperti "FREE_AIRDROP") yang mengundang pengguna untuk mengunjungi suatu situs untuk memeriksa detailnya. Pengguna mungkin ingin mencairkan token ini, lalu penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token tersebut. Secara diam-diam, serangan debu akan menggunakan rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, dan dengan demikian melakukan penipuan yang lebih tepat sasaran.
Kasus nyata:
Dulu, serangan debu "token GAS" yang muncul di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit untuk dideteksi?
Keberhasilan penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah Blockchain, yang sulit untuk dibedakan oleh pengguna biasa dari sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknologi:
Kode smart contract dan permintaan tanda tangan mungkin tampak rumit dan sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" dapat muncul sebagai data heksadesimal seperti "0x095ea7b3..." yang tidak dapat dipahami maknanya secara intuitif oleh pengguna.
Legalitas di Blockchain:
Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelahnya, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial:
Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan 1000 dolar token secara gratis"), ketakutan ("verifikasi diperlukan karena ada anomali akun"), atau kepercayaan (menyamar sebagai layanan pelanggan).
Penyamaran yang canggih:
Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi (seperti "metamask.io" menjadi "metamaskk.io"), bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Keamanan Blockchain menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola izin otorisasi
Alat: Gunakan pemeriksa otorisasi atau alat pencabutan untuk memeriksa catatan otorisasi dompet.
Operasi: Secara berkala membatalkan otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak dikenal. Sebelum setiap otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Detail teknis: Periksa nilai "Allowance", jika "tak terbatas" (seperti 2^256-1), harus segera dibatalkan.
Verifikasi tautan dan sumber
Metode: Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Periksa: Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau). Waspadai kesalahan ejaan atau karakter tambahan.
Contoh: jika menerima varian "opensea.io" (seperti "opensea.io-login"), segera curigai keasliannya.
menggunakan dompet dingin dan tanda tangan ganda
Dompet dingin: Menyimpan sebagian besar aset di dompet perangkat keras, hanya terhubung ke jaringan saat diperlukan.
Multisignature: Untuk aset bernilai besar, gunakan alat multisignature yang memerlukan konfirmasi transaksi dari beberapa kunci, mengurangi risiko kesalahan satu titik.
Manfaat: Bahkan jika dompet panas diretas, aset penyimpanan dingin tetap aman.
Hati-hati dalam menangani permintaan tanda tangan
Langkah: Bacalah dengan cermat rincian transaksi di jendela dompet setiap kali menandatangani. Jika termasuk fungsi yang tidak dikenal (seperti "TransferFrom"), tolak untuk menandatangani.
Alat: Gunakan fungsi "Decode Input Data" pada penjelajah Blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknis.
Saran: Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Strategi: Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Periksa: Konfirmasi sumber token melalui penjelajah Blockchain, jika pengiriman massal, waspada tinggi.
Pencegahan: Hindari mengungkapkan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna biasa dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya merupakan kemenangan sepihak dari teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan eksposur risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk menahan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah sumpah terhadap kedaulatan digital mereka sendiri.
Di masa depan, tidak peduli bagaimana teknologi beriterasi, garis pertahanan yang paling inti selalu terletak pada: menginternalisasi kesadaran akan keamanan sebagai memori otot, membangun keseimbangan abadi antara kepercayaan dan verifikasi. Lagipula, di dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Analisis metode penipuan protokol Blockchain dan strategi komprehensif untuk melindungi keamanan aset digital
Blockchain Keamanan: Bentuk Baru Penipuan Smart Contract dan Strategi Pencegahannya
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi perubahan ini juga membawa ancaman baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi malah mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Mereka menggunakan jebakan rekayasa sosial yang dirancang dengan cermat, memanfaatkan transparansi dan ketidakberbalikan Blockchain, mengubah kepercayaan pengguna menjadi alat untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilannya yang "legal". Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan menyediakan solusi komprehensif dari perlindungan teknologi hingga pencegahan perilaku, membantu pengguna bergerak aman di dunia terdesentralisasi.
I. Bagaimana perjanjian yang sah dapat berubah menjadi alat penipuan?
Tujuan dari protokol Blockchain adalah untuk menjamin keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode dan penjelasan rinci tentang teknologinya:
(1) Otorisasi smart contract jahat
Prinsip teknis: Di Blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fungsi ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan izin kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, para penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan dipancing untuk mengklik "Approve", yang tampaknya memberikan otorisasi sejumlah kecil token, tetapi sebenarnya mungkin adalah batas tanpa batas (nilai uint256.max). Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat kapan saja memanggil fungsi "TransferFrom", untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus nyata: Pada awal tahun 2023, situs phishing yang menyamar sebagai "Peningkatan Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi dilakukan secara sukarela.
(2) tanda tangan phishing
Prinsip teknis: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi akan disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda menunggu untuk diambil, silakan verifikasi dompet". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung memindahkan ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll" yang memberikan izin kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus nyata: Komunitas Bored Ape Yacht Club (BAYC) mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja: Dalam banyak kasus, "debu" yang digunakan dalam serangan debu didistribusikan ke dompet pengguna dalam bentuk airdrop, dan token ini mungkin memiliki nama atau metadata (seperti "FREE_AIRDROP") yang mengundang pengguna untuk mengunjungi suatu situs untuk memeriksa detailnya. Pengguna mungkin ingin mencairkan token ini, lalu penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token tersebut. Secara diam-diam, serangan debu akan menggunakan rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, dan dengan demikian melakukan penipuan yang lebih tepat sasaran.
Kasus nyata: Dulu, serangan debu "token GAS" yang muncul di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit untuk dideteksi?
Keberhasilan penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah Blockchain, yang sulit untuk dibedakan oleh pengguna biasa dari sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknologi: Kode smart contract dan permintaan tanda tangan mungkin tampak rumit dan sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" dapat muncul sebagai data heksadesimal seperti "0x095ea7b3..." yang tidak dapat dipahami maknanya secara intuitif oleh pengguna.
Legalitas di Blockchain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelahnya, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan 1000 dolar token secara gratis"), ketakutan ("verifikasi diperlukan karena ada anomali akun"), atau kepercayaan (menyamar sebagai layanan pelanggan).
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi (seperti "metamask.io" menjadi "metamaskk.io"), bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Keamanan Blockchain menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola izin otorisasi
Alat: Gunakan pemeriksa otorisasi atau alat pencabutan untuk memeriksa catatan otorisasi dompet.
Operasi: Secara berkala membatalkan otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak dikenal. Sebelum setiap otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Detail teknis: Periksa nilai "Allowance", jika "tak terbatas" (seperti 2^256-1), harus segera dibatalkan.
Verifikasi tautan dan sumber
Metode: Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Periksa: Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau). Waspadai kesalahan ejaan atau karakter tambahan.
Contoh: jika menerima varian "opensea.io" (seperti "opensea.io-login"), segera curigai keasliannya.
menggunakan dompet dingin dan tanda tangan ganda
Dompet dingin: Menyimpan sebagian besar aset di dompet perangkat keras, hanya terhubung ke jaringan saat diperlukan.
Multisignature: Untuk aset bernilai besar, gunakan alat multisignature yang memerlukan konfirmasi transaksi dari beberapa kunci, mengurangi risiko kesalahan satu titik.
Manfaat: Bahkan jika dompet panas diretas, aset penyimpanan dingin tetap aman.
Hati-hati dalam menangani permintaan tanda tangan
Langkah: Bacalah dengan cermat rincian transaksi di jendela dompet setiap kali menandatangani. Jika termasuk fungsi yang tidak dikenal (seperti "TransferFrom"), tolak untuk menandatangani.
Alat: Gunakan fungsi "Decode Input Data" pada penjelajah Blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknis.
Saran: Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Strategi: Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Periksa: Konfirmasi sumber token melalui penjelajah Blockchain, jika pengiriman massal, waspada tinggi.
Pencegahan: Hindari mengungkapkan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna biasa dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya merupakan kemenangan sepihak dari teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan eksposur risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk menahan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah sumpah terhadap kedaulatan digital mereka sendiri.
Di masa depan, tidak peduli bagaimana teknologi beriterasi, garis pertahanan yang paling inti selalu terletak pada: menginternalisasi kesadaran akan keamanan sebagai memori otot, membangun keseimbangan abadi antara kepercayaan dan verifikasi. Lagipula, di dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.