Blockchain smart contract protokol menjadi alat penipuan baru: Analisis dan pencegahan
Mata uang kripto dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, namun revolusi ini juga melahirkan ancaman baru. Penipu tidak lagi hanya memanfaatkan kerentanan teknis, tetapi mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan baik, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain, mengubah kepercayaan pengguna menjadi alat untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena "pakaian" yang "legal". Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol itu sendiri menjadi sarana serangan, dan memberikan satu set solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda untuk bergerak dengan aman di dunia terdesentralisasi.
Satu, bagaimana protokol yang sah bisa menjadi alat penipuan?
Desain awal dari protokol Blockchain adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, bersama dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode dan contoh rinciannya:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya smart contract) untuk mengambil jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, seperti DEX tertentu atau platform pinjaman tertentu, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial (seperti halaman DEX terkenal yang dipalsukan). Pengguna menghubungkan dompet dan terpancing untuk mengklik "Approve", yang secara permukaan tampaknya memberikan otorisasi untuk sejumlah kecil token, tetapi sebenarnya bisa jadi batasan yang tidak terbatas (nilai uint256.max). Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat kapan saja memanggil fungsi "TransferFrom" untuk menarik semua token terkait dari dompet pengguna.
Kasus nyata:
Pada awal tahun 2023, situs phishing yang menyamar sebagai "Pembaruan DEX Tertentu V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi ditandatangani secara sukarela.
(2) Tanda tangan phishing (Phishing Signature)
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci privat, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan dari platform sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap diambil, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya bisa jadi memanggil fungsi "Transfer", yang secara langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau bisa juga merupakan operasi "SetApprovalForAll", yang memberikan izin kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "pengambilan airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu" (Dust Attack)
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut. Ini dimulai dengan mengirim debu – mengirim sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian penyerang mencoba mencari tahu mana yang milik dompet yang sama. Kemudian, penyerang memanfaatkan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban.
Cara kerja:
Dalam sebagian besar kasus, "debu" yang digunakan dalam serangan debu didistribusikan dalam bentuk airdrop ke dompet pengguna, token-token ini mungkin memiliki nama atau metadata (seperti "FREE_AIRDROP"), yang mengundang pengguna untuk mengunjungi situs web tertentu untuk melihat detailnya. Pengguna umumnya akan dengan senang hati ingin menukarkan token-token ini, kemudian penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token. Secara tersembunyi, serangan debu akan menggunakan rekayasa sosial, menganalisis transaksi pengguna berikutnya, dan mengunci alamat dompet aktif pengguna, sehingga dapat melakukan penipuan yang lebih tepat sasaran.
Contoh nyata:
Dulu, serangan debu "token GAS" yang muncul di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu berinteraksi.
Dua, mengapa penipuan ini sulit dideteksi?
Keberhasilan penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme legal Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas Teknologi:
Kode kontrak pintar dan permintaan tanda tangan sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal seperti "0x095ea7b3..." yang tidak dapat dengan mudah dipahami maknanya oleh pengguna.
Legalitas di Blockchain:
Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa Sosial:
Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan 1000 dolar token secara gratis"), ketakutan ("akun tidak normal perlu verifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan dompet).
Penyamaran yang Canggih:
Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi (seperti "metamask.io" menjadi "metamaskk.io"), bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Keamanan Blockchain menghadapi penipuan yang memiliki unsur teknis dan perang psikologis, melindungi aset memerlukan strategi bertingkat. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola izin otorisasi
Alat: Gunakan alat seperti Approval Checker dari blockchain explorer untuk memeriksa catatan otorisasi dompet.
Operasi: Secara berkala cabut otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak diketahui. Sebelum setiap otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Detail teknis: Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), harus segera dibatalkan.
Verifikasi tautan dan sumber
Metode: Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Periksa: Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau). Waspadai kesalahan ejaan atau karakter tambahan.
Contoh: Jika menerima URL varian dari platform perdagangan NFT terkenal (seperti "opensea.io-login"), segera curiga terhadap keasliannya.
Menggunakan dompet dingin dan tanda tangan ganda
Dompet dingin: Menyimpan sebagian besar aset di dompet perangkat keras, hanya terhubung ke jaringan saat diperlukan.
Multisignature: Untuk aset besar, gunakan alat multisignature yang memerlukan konfirmasi transaksi dari beberapa kunci, mengurangi risiko kesalahan titik tunggal.
Manfaat: Bahkan jika dompet panas diretas, aset penyimpanan dingin tetap aman.
Hati-hati menangani permintaan tanda tangan
Langkah: Setiap kali menandatangani, baca dengan cermat rincian transaksi di jendela dompet. Beberapa dompet akan menampilkan bidang "data", jika berisi fungsi yang tidak jelas (seperti "TransferFrom"), tolak untuk menandatangani.
Alat: Gunakan fungsi "Decode Input Data" pada penjelajah blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
Saran: buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Strategi: Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Periksa: melalui platform penjelajah Blockchain, konfirmasi sumber token, jika pengiriman massal, waspada tinggi.
Pencegahan: Hindari membagikan alamat dompet secara terbuka, atau gunakan alamat baru untuk melakukan operasi sensitif.
Penutup
Dengan menerapkan langkah-langkah keamanan di atas, pengguna biasa dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang nyata tidak pernah hanya kemenangan sepihak dari teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan eksposur risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir dalam menghadapi serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah pernyataan kedaulatan digital diri sendiri.
Di masa depan, terlepas dari bagaimana teknologi beriterasi, garis pertahanan yang paling penting selalu terletak pada: menginternalisasi kesadaran keamanan menjadi memori otot, dan membangun keseimbangan abadi antara kepercayaan dan verifikasi. Setelah semua, di dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
3
Bagikan
Komentar
0/400
PretendingToReadDocs
· 08-03 03:38
Teknologi blockchain juga tidak bisa lepas dari sifat serakah manusia.
Lihat AsliBalas0
MetaNomad
· 08-01 04:43
Keluar dari campuran mana yang tidak dibayar kembali, data on-chain sangat jelas.
Lihat AsliBalas0
LiquidationWatcher
· 08-01 04:25
Sebelum setiap transfer, lihat tiga kali White Paper.
Blockchain smart contract menjadi alat baru untuk penipuan: Mengungkap metode dan strategi perlindungan diri
Blockchain smart contract protokol menjadi alat penipuan baru: Analisis dan pencegahan
Mata uang kripto dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, namun revolusi ini juga melahirkan ancaman baru. Penipu tidak lagi hanya memanfaatkan kerentanan teknis, tetapi mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan baik, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain, mengubah kepercayaan pengguna menjadi alat untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena "pakaian" yang "legal". Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penipu mengubah protokol itu sendiri menjadi sarana serangan, dan memberikan satu set solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda untuk bergerak dengan aman di dunia terdesentralisasi.
Satu, bagaimana protokol yang sah bisa menjadi alat penipuan?
Desain awal dari protokol Blockchain adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, bersama dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode dan contoh rinciannya:
(1) Pemberian wewenang kontrak pintar jahat (Approve Scam)
Prinsip teknis:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya smart contract) untuk mengambil jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, seperti DEX tertentu atau platform pinjaman tertentu, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial (seperti halaman DEX terkenal yang dipalsukan). Pengguna menghubungkan dompet dan terpancing untuk mengklik "Approve", yang secara permukaan tampaknya memberikan otorisasi untuk sejumlah kecil token, tetapi sebenarnya bisa jadi batasan yang tidak terbatas (nilai uint256.max). Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat kapan saja memanggil fungsi "TransferFrom" untuk menarik semua token terkait dari dompet pengguna.
Kasus nyata:
Pada awal tahun 2023, situs phishing yang menyamar sebagai "Pembaruan DEX Tertentu V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan para korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi ditandatangani secara sukarela.
(2) Tanda tangan phishing (Phishing Signature)
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci privat, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan dari platform sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap diambil, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya bisa jadi memanggil fungsi "Transfer", yang secara langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau bisa juga merupakan operasi "SetApprovalForAll", yang memberikan izin kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "pengambilan airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu" (Dust Attack)
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut. Ini dimulai dengan mengirim debu – mengirim sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian penyerang mencoba mencari tahu mana yang milik dompet yang sama. Kemudian, penyerang memanfaatkan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban.
Cara kerja:
Dalam sebagian besar kasus, "debu" yang digunakan dalam serangan debu didistribusikan dalam bentuk airdrop ke dompet pengguna, token-token ini mungkin memiliki nama atau metadata (seperti "FREE_AIRDROP"), yang mengundang pengguna untuk mengunjungi situs web tertentu untuk melihat detailnya. Pengguna umumnya akan dengan senang hati ingin menukarkan token-token ini, kemudian penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token. Secara tersembunyi, serangan debu akan menggunakan rekayasa sosial, menganalisis transaksi pengguna berikutnya, dan mengunci alamat dompet aktif pengguna, sehingga dapat melakukan penipuan yang lebih tepat sasaran.
Contoh nyata:
Dulu, serangan debu "token GAS" yang muncul di jaringan Ethereum mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu berinteraksi.
Dua, mengapa penipuan ini sulit dideteksi?
Keberhasilan penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme legal Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kode kontrak pintar dan permintaan tanda tangan sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal seperti "0x095ea7b3..." yang tidak dapat dengan mudah dipahami maknanya oleh pengguna.
Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan 1000 dolar token secara gratis"), ketakutan ("akun tidak normal perlu verifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan dompet).
Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi (seperti "metamask.io" menjadi "metamaskk.io"), bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Keamanan Blockchain menghadapi penipuan yang memiliki unsur teknis dan perang psikologis, melindungi aset memerlukan strategi bertingkat. Berikut adalah langkah-langkah pencegahan yang rinci:
Alat: Gunakan alat seperti Approval Checker dari blockchain explorer untuk memeriksa catatan otorisasi dompet.
Operasi: Secara berkala cabut otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak diketahui. Sebelum setiap otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Detail teknis: Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), harus segera dibatalkan.
Metode: Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Periksa: Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau). Waspadai kesalahan ejaan atau karakter tambahan.
Contoh: Jika menerima URL varian dari platform perdagangan NFT terkenal (seperti "opensea.io-login"), segera curiga terhadap keasliannya.
Dompet dingin: Menyimpan sebagian besar aset di dompet perangkat keras, hanya terhubung ke jaringan saat diperlukan.
Multisignature: Untuk aset besar, gunakan alat multisignature yang memerlukan konfirmasi transaksi dari beberapa kunci, mengurangi risiko kesalahan titik tunggal.
Manfaat: Bahkan jika dompet panas diretas, aset penyimpanan dingin tetap aman.
Langkah: Setiap kali menandatangani, baca dengan cermat rincian transaksi di jendela dompet. Beberapa dompet akan menampilkan bidang "data", jika berisi fungsi yang tidak jelas (seperti "TransferFrom"), tolak untuk menandatangani.
Alat: Gunakan fungsi "Decode Input Data" pada penjelajah blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
Saran: buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Strategi: Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Periksa: melalui platform penjelajah Blockchain, konfirmasi sumber token, jika pengiriman massal, waspada tinggi.
Pencegahan: Hindari membagikan alamat dompet secara terbuka, atau gunakan alamat baru untuk melakukan operasi sensitif.
Penutup
Dengan menerapkan langkah-langkah keamanan di atas, pengguna biasa dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang nyata tidak pernah hanya kemenangan sepihak dari teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan eksposur risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir dalam menghadapi serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah pernyataan kedaulatan digital diri sendiri.
Di masa depan, terlepas dari bagaimana teknologi beriterasi, garis pertahanan yang paling penting selalu terletak pada: menginternalisasi kesadaran keamanan menjadi memori otot, dan membangun keseimbangan abadi antara kepercayaan dan verifikasi. Setelah semua, di dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.