Keamanan Blockchain: Tantangan Ganda antara smart contract dan rekayasa sosial

Mata uang kripto dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi revolusi ini juga membawa ancaman keamanan baru. Penipu tidak lagi hanya memanfaatkan kerentanan teknologi, tetapi juga mengubah smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberubahan Blockchain, mengubah kepercayaan pengguna menjadi sarana untuk mencuri aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit terdeteksi, tetapi juga lebih menipu karena penampilan "legal"-nya. Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku.

I. Bagaimana perjanjian yang sah dapat menjadi alat penipuan?

Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, bersama dengan kelalaian pengguna, untuk menciptakan berbagai metode serangan yang terselubung. Berikut adalah beberapa teknik umum dan rincian teknisnya:

(1) Otorisasi smart contract jahat

Prinsip teknis: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberi otorisasi kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi (DeFi), di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau penambangan likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.

Cara kerja: Penipu membuat aplikasi terdesentralisasi (DApp) yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet mereka dan dipandu untuk mengklik "Approve", yang tampaknya memberikan otorisasi untuk sejumlah kecil token, padahal sebenarnya bisa jadi tanpa batas. Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin untuk memanggil fungsi "TransferFrom" kapan saja, untuk menarik semua token yang sesuai dari dompet pengguna.

Kasus Nyata: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dari USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya mematuhi standar ERC-20, sehingga sulit bagi para korban untuk memulihkan kerugian mereka melalui jalur hukum, karena otorisasi adalah tanda tangan sukarela.

(2) tanda tangan phishing

Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi tersebut disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.

Cara kerja: Pengguna menerima email atau pesan instan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda menunggu untuk diambil, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs berbahaya yang meminta untuk menghubungkan dompet dan menandatangani sebuah "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberikan wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.

Kasus nyata: Salah satu komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang terlihat aman.

(3) Token palsu dan "serangan debu"

Prinsip Teknologi: Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.

Cara kerja: Penyerang mengirimkan sejumlah kecil token "debu" ke alamat yang berbeda, mencoba untuk mengetahui mana yang termasuk dalam dompet yang sama. Token ini mungkin memiliki nama atau metadata yang menarik, yang menggoda pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Pengguna mungkin mencoba untuk mencairkan token ini, memungkinkan penyerang untuk mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token. Lebih tersembunyi, serangan debu dapat mengunci alamat dompet aktif pengguna dengan menganalisis transaksi pengguna berikutnya, sehingga melakukan penipuan yang lebih tepat.

Kasus nyata: Serangan debu "token GAS" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu dan interaksi.

Dua, mengapa penipuan ini sulit terdeteksi?

Penipuan ini berhasil, sebagian besar, karena mereka tersembunyi dalam mekanisme legal Blockchain, yang sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:

• Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal seperti "0x095ea7b3..." yang tidak dapat dipahami pengguna secara intuitif.

• Legalitas di blockchain: Semua transaksi dicatat di Blockchain, tampaknya transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.

• Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan token senilai 1000 dolar secara gratis"), ketakutan ("akun tidak normal perlu diverifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan).

• Penipuan yang cerdik: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.

Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?

Menghadapi penipuan yang menggabungkan aspek teknis dan pertempuran psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:

Periksa dan kelola izin otorisasi

• Gunakan alat pemeriksa otorisasi dari penjelajah Blockchain untuk memeriksa catatan otorisasi dompet.
• Secara berkala mencabut izin yang tidak perlu, terutama untuk izin tanpa batas terhadap alamat yang tidak dikenal.
• Sebelum memberikan otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
• Periksa nilai "Allowance", jika "tak terbatas" (seperti 2^256-1), harus segera dibatalkan.

Verifikasi tautan dan sumber

• Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
• Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau).
• Waspadai kesalahan ejaan atau karakter tambahan.
• Jika menerima varian nama domain yang mencurigakan, segera curigai keasliannya.

menggunakan dompet dingin dan tanda tangan ganda

• Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
• Untuk aset besar, gunakan alat tanda tangan multi, yang memerlukan konfirmasi transaksi dari beberapa kunci.
• Meskipun dompet panas diretas, aset penyimpanan dingin tetap aman.

Hati-hati dalam menangani permintaan tanda tangan

• Bacalah dengan cermat rincian transaksi di jendela pop-up dompet setiap kali menandatangani.
• Gunakan fungsi "Decode Input Data" pada blockchain explorer untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
• Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.

Menghadapi serangan debu

• Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
• Konfirmasi sumber token melalui Blockchain explorer, jika pengiriman massal, waspadai dengan tinggi.
• Hindari membagikan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.

Kesimpulan

Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir dalam melawan serangan. Analisis data sebelum setiap tanda tangan dan pemeriksaan izin setelah setiap otorisasi adalah perlindungan terhadap kedaulatan digital mereka.

Di masa depan, apapun bagaimana teknologi berinovasi, garis pertahanan yang paling penting selalu terletak pada: menginternalisasi kesadaran keamanan menjadi kebiasaan, membangun keseimbangan antara kepercayaan dan verifikasi. Di dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, tetap waspada dan terus belajar sangat penting untuk bergerak maju dengan aman di bidang yang berkembang pesat ini.