Ancaman Baru di Dunia Blockchain: Protokol Menjadi Alat Penipuan
Kryptocurrency dan teknologi Blockchain sedang mengubah konsep kebebasan finansial, tetapi revolusi ini juga membawa tantangan baru. Para penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi malah mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Melalui perangkap rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit terdeteksi, tetapi juga lebih menipu karena penampilannya yang "terlegalisasi". Artikel ini akan menganalisis kasus nyata untuk mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, serta memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda bergerak dengan aman di dunia terdesentralisasi.
Satu, bagaimana protokol menjadi alat penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik dan penjelasan detail teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya kontrak pintar) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan otorisasi kepada kontrak pintar untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara Kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan tergoda untuk mengklik "Approve", yang tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya bisa jadi jumlah yang tidak terbatas. Setelah pemberian izin selesai, alamat kontrak penipu mendapatkan hak untuk memanggil fungsi "TransferFrom" kapan saja, untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus Nyata:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "Upgrade Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan korban bahkan tidak dapat memulihkannya melalui jalur hukum karena otorisasi ditandatangani secara sukarela.
(2) tanda tangan pancingan
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah dikonfirmasi oleh pengguna, transaksi akan disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara Kerja:
Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web jahat yang meminta untuk menghubungkan dompet dan menandatangani transaksi "verifikasi". Transaksi ini sebenarnya bisa memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll" yang memberikan izin kepada penipu untuk mengontrol koleksi NFT pengguna.
Kasus Nyata:
Sebuah komunitas NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "pengambilan airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang terlihat aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan mengaitkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara Kerja:
Penyerang mengirimkan sejumlah kecil cryptocurrency ke alamat yang berbeda, dan kemudian mencoba untuk mengetahui alamat mana yang milik dompet yang sama. Dalam banyak kasus, "debu" ini diberikan dalam bentuk airdrop ke dompet pengguna, mungkin dengan nama atau metadata yang menarik, yang menggoda pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Ketika pengguna mencoba untuk mencairkan token ini, penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token. Lebih halus, serangan debu dapat melalui rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, sehingga melaksanakan penipuan yang lebih tepat.
Kasus Nyata:
Serangan debu "token GAS" pernah muncul di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu dan interaksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, sehingga pengguna biasa sulit membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas Teknologi: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai serangkaian data heksadesimal, dan pengguna tidak dapat dengan jelas menentukan artinya.
Legitimasi di Blockchain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran Canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak akses yang diberikan
Gunakan alat pemeriksaan otorisasi di penjelajah Blockchain untuk secara berkala memeriksa catatan otorisasi dompet.
Batalkan otorisasi yang tidak perlu, terutama otorisasi tanpa batas pada alamat yang tidak diketahui.
Sebelum memberikan izin, pastikan DApp berasal dari sumber yang tepercaya.
Periksa nilai "Allowance", jika "tak terbatas", harus segera dibatalkan.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter tambahan pada nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan bersama, yang memerlukan konfirmasi transaksi dari beberapa kunci.
Hati-hati dalam menangani permintaan tanda tangan
Baca dengan cermat detail transaksi di jendela pop-up dompet.
Gunakan fungsi analisis dari blockchain browser untuk menginterpretasikan konten tanda tangan, atau konsultasikan dengan ahli teknologi.
Buat dompet independen untuk operasi berisiko tinggi, simpan sedikit aset.
menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi sumber token melalui penjelajah Blockchain, jika pengiriman massal, waspada tinggi.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kewaspadaan terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah pernyataan atas kedaulatan digital diri sendiri.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan terpenting selalu terletak pada: menginternalisasi kesadaran keamanan sebagai kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat selamanya dan tidak dapat diubah. Tetap waspada dan bertindak dengan hati-hati agar dapat melangkah dengan aman di dunia baru yang penuh peluang dan risiko ini.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
11 Suka
Hadiah
11
4
Bagikan
Komentar
0/400
BasementAlchemist
· 07-19 00:30
Ada lagi metode penipuan baru yang muncul.
Lihat AsliBalas0
MemeCurator
· 07-17 23:41
Benar-benar merasa putus asa, orang lain sibuk di dunia kripto, penipu juga ikut terlibat.
Lihat AsliBalas0
LiquidityHunter
· 07-17 23:37
Mengelola Kunci Pribadi dengan baik sudah cukup.
Lihat AsliBalas0
MidnightTrader
· 07-17 23:24
Sekali lagi ada Rug Pull... Saya juga sudah pernah terjebak.
Protokol Blockchain Menjadi Alat Penipuan: Analisis Ancaman Baru Seperti Otorisasi Smart Contract dan Phishing Tanda Tangan
Ancaman Baru di Dunia Blockchain: Protokol Menjadi Alat Penipuan
Kryptocurrency dan teknologi Blockchain sedang mengubah konsep kebebasan finansial, tetapi revolusi ini juga membawa tantangan baru. Para penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi malah mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Melalui perangkap rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit terdeteksi, tetapi juga lebih menipu karena penampilannya yang "terlegalisasi". Artikel ini akan menganalisis kasus nyata untuk mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, serta memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda bergerak dengan aman di dunia terdesentralisasi.
Satu, bagaimana protokol menjadi alat penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik dan penjelasan detail teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya kontrak pintar) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan otorisasi kepada kontrak pintar untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara Kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan tergoda untuk mengklik "Approve", yang tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya bisa jadi jumlah yang tidak terbatas. Setelah pemberian izin selesai, alamat kontrak penipu mendapatkan hak untuk memanggil fungsi "TransferFrom" kapan saja, untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus Nyata:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "Upgrade Uniswap V3" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan korban bahkan tidak dapat memulihkannya melalui jalur hukum karena otorisasi ditandatangani secara sukarela.
(2) tanda tangan pancingan
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah dikonfirmasi oleh pengguna, transaksi akan disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara Kerja:
Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web jahat yang meminta untuk menghubungkan dompet dan menandatangani transaksi "verifikasi". Transaksi ini sebenarnya bisa memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll" yang memberikan izin kepada penipu untuk mengontrol koleksi NFT pengguna.
Kasus Nyata:
Sebuah komunitas NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "pengambilan airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang terlihat aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan mengaitkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara Kerja:
Penyerang mengirimkan sejumlah kecil cryptocurrency ke alamat yang berbeda, dan kemudian mencoba untuk mengetahui alamat mana yang milik dompet yang sama. Dalam banyak kasus, "debu" ini diberikan dalam bentuk airdrop ke dompet pengguna, mungkin dengan nama atau metadata yang menarik, yang menggoda pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Ketika pengguna mencoba untuk mencairkan token ini, penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token. Lebih halus, serangan debu dapat melalui rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, sehingga melaksanakan penipuan yang lebih tepat.
Kasus Nyata:
Serangan debu "token GAS" pernah muncul di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu dan interaksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, sehingga pengguna biasa sulit membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas Teknologi: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai serangkaian data heksadesimal, dan pengguna tidak dapat dengan jelas menentukan artinya.
Legitimasi di Blockchain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran Canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak akses yang diberikan
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
menghadapi serangan debu
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kewaspadaan terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah pernyataan atas kedaulatan digital diri sendiri.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan terpenting selalu terletak pada: menginternalisasi kesadaran keamanan sebagai kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat selamanya dan tidak dapat diubah. Tetap waspada dan bertindak dengan hati-hati agar dapat melangkah dengan aman di dunia baru yang penuh peluang dan risiko ini.