Ancaman Baru di Dunia Blockchain: Ketika smart contract Menjadi Alat Penipuan
Cryptocurrency dan teknologi Blockchain sedang membentuk ulang lanskap keuangan, tetapi revolusi ini juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi telah mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit terdeteksi, tetapi juga lebih menipu karena penampilannya yang "legal". Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda bergerak aman di dunia terdesentralisasi.
I. Bagaimana perjanjian yang sah dapat berubah menjadi alat penipuan?
Desain protokol Blockchain pada dasarnya adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode dan penjelasan detail teknisnya:
(1) Otorisasi smart contract jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fungsi ini digunakan secara luas dalam protokol DeFi, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, para penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet mereka dan terpedaya untuk mengklik "Approve", yang tampaknya memberikan otorisasi untuk sejumlah kecil token, padahal sebenarnya bisa berupa batas tak terbatas (nilai uint256.max). Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat kapan saja memanggil fungsi "TransferFrom" untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus nyata:
Pada awal 2023, sebuah situs phishing yang menyamar sebagai "Pembaruan Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkannya melalui jalur hukum karena otorisasi dilakukan secara sukarela.
(2) tanda tangan phishing
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, misalnya "Airdrop NFT Anda menunggu untuk diambil, silakan verifikasi dompet". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani sebuah "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberikan izin kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus Nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja:
Penyerang mengirimkan sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian mencoba untuk mengetahui mana yang milik dompet yang sama. "Debu" ini biasanya diberikan dalam bentuk airdrop ke dompet pengguna, mungkin dengan nama atau metadata yang menarik. Pengguna mungkin ingin mencairkan token ini, sehingga mengakses situs web yang disediakan oleh penyerang. Penyerang kemudian dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token, atau dengan menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif, dan melaksanakan penipuan yang lebih tepat.
Kasus nyata:
Dulu, serangan debu "token GAS" yang terjadi di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit dideteksi?
Kejadian penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan mungkin sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" dapat ditampilkan sebagai data heksadesimal seperti "0x095ea7b3...", yang tidak memungkinkan pengguna untuk menilai maknanya secara intuitif.
Legalitas di blockchain: Semua transaksi tercatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("ambil token $1000 secara gratis"), ketakutan ("akun abnormal perlu diverifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan).
Penyamaran yang cerdik: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan melalui sertifikat HTTPS.
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak akses yang diberikan
Gunakan alat pemeriksaan otorisasi dari penjelajah Blockchain untuk memeriksa catatan otorisasi dompet.
Secara berkala mencabut otorisasi yang tidak perlu, terutama otorisasi tanpa batas untuk alamat yang tidak dikenal.
Sebelum memberikan otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), segera batalkan.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau).
Waspadai kesalahan ejaan atau karakter yang berlebihan.
Jika menerima variasi nama domain yang mencurigakan, segera curigai keasliannya.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan multi, yang memerlukan beberapa kunci untuk mengonfirmasi transaksi, mengurangi risiko kesalahan tunggal.
Meskipun dompet panas diretas, aset penyimpanan dingin tetap aman.
Harap hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan cermat rincian transaksi di jendela pop-up dompet setiap kali Anda menandatangani.
Perhatikan kolom "data", jika berisi fungsi yang tidak dikenal (seperti "TransferFrom"), tolak tanda tangan.
Gunakan fungsi "Decode Input Data" di browser Blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.
Menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Melalui platform penjelajah Blockchain, konfirmasi sumber token, jika dikirim secara massal, waspadalah.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna biasa dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak pernah hanya merupakan kemenangan sepihak dari teknologi. Ketika dompet hardware membangun garis pertahanan fisik dan tanda tangan ganda mendiversifikasi paparan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah sumpah terhadap kedaulatan digital mereka sendiri.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling penting tetap pada: menginternalisasi kesadaran keamanan sebagai kebiasaan, dan membangun keseimbangan abadi antara kepercayaan dan verifikasi. Lagipula, dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
6
Bagikan
Komentar
0/400
SmartContractRebel
· 13jam yang lalu
ambil posisi berlawanan mencabut otorisasi, masih mau mencuri koin saya?
Lihat AsliBalas0
LiquidityWizard
· 13jam yang lalu
secara teori, 99,7% dari "peretasan" ini hanyalah kesalahan pengguna smh
Lihat AsliBalas0
PanicSeller
· 13jam yang lalu
又被Kupon Klip薅怕了
Lihat AsliBalas0
GateUser-00be86fc
· 13jam yang lalu
pemula tidak akan pernah mengerti risiko tanda tangan
Protokol Blockchain Menjadi Alat Penipuan Baru, Bagaimana Melindungi Aset Enkripsi Anda
Ancaman Baru di Dunia Blockchain: Ketika smart contract Menjadi Alat Penipuan
Cryptocurrency dan teknologi Blockchain sedang membentuk ulang lanskap keuangan, tetapi revolusi ini juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi telah mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit terdeteksi, tetapi juga lebih menipu karena penampilannya yang "legal". Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda bergerak aman di dunia terdesentralisasi.
I. Bagaimana perjanjian yang sah dapat berubah menjadi alat penipuan?
Desain protokol Blockchain pada dasarnya adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode dan penjelasan detail teknisnya:
(1) Otorisasi smart contract jahat
Prinsip Teknologi: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fungsi ini digunakan secara luas dalam protokol DeFi, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, para penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet mereka dan terpedaya untuk mengklik "Approve", yang tampaknya memberikan otorisasi untuk sejumlah kecil token, padahal sebenarnya bisa berupa batas tak terbatas (nilai uint256.max). Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat kapan saja memanggil fungsi "TransferFrom" untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus nyata: Pada awal 2023, sebuah situs phishing yang menyamar sebagai "Pembaruan Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkannya melalui jalur hukum karena otorisasi dilakukan secara sukarela.
(2) tanda tangan phishing
Prinsip teknis: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, misalnya "Airdrop NFT Anda menunggu untuk diambil, silakan verifikasi dompet". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani sebuah "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberikan izin kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus Nyata: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja: Penyerang mengirimkan sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian mencoba untuk mengetahui mana yang milik dompet yang sama. "Debu" ini biasanya diberikan dalam bentuk airdrop ke dompet pengguna, mungkin dengan nama atau metadata yang menarik. Pengguna mungkin ingin mencairkan token ini, sehingga mengakses situs web yang disediakan oleh penyerang. Penyerang kemudian dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token, atau dengan menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif, dan melaksanakan penipuan yang lebih tepat.
Kasus nyata: Dulu, serangan debu "token GAS" yang terjadi di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit dideteksi?
Kejadian penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan mungkin sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" dapat ditampilkan sebagai data heksadesimal seperti "0x095ea7b3...", yang tidak memungkinkan pengguna untuk menilai maknanya secara intuitif.
Legalitas di blockchain: Semua transaksi tercatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("ambil token $1000 secara gratis"), ketakutan ("akun abnormal perlu diverifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan).
Penyamaran yang cerdik: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan melalui sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak akses yang diberikan
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Harap hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna biasa dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak pernah hanya merupakan kemenangan sepihak dari teknologi. Ketika dompet hardware membangun garis pertahanan fisik dan tanda tangan ganda mendiversifikasi paparan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah sumpah terhadap kedaulatan digital mereka sendiri.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling penting tetap pada: menginternalisasi kesadaran keamanan sebagai kebiasaan, dan membangun keseimbangan abadi antara kepercayaan dan verifikasi. Lagipula, dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.