Tren Baru Penipuan Blockchain: Protokol Itu Sendiri Menjadi Senjata Serangan
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi pada saat yang sama juga membawa risiko keamanan baru. Berbeda dengan serangan tradisional yang bergantung pada kerentanan teknologi, penipu baru dengan cerdik mengubah protokol kontrak pintar Blockchain menjadi alat serangan. Mereka menggunakan jebakan rekayasa sosial yang dirancang dengan hati-hati, memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga memiliki daya tipu yang sangat kuat karena "tutupan" yang "legal". Artikel ini akan melalui analisis kasus, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan solusi perlindungan yang komprehensif, membantu pengguna bergerak dengan aman di dunia terdesentralisasi.
Satu, bagaimana protokol yang sah dapat berubah menjadi alat penipuan?
Protokol Blockchain awalnya dirancang untuk menjamin keamanan dan kepercayaan, namun penipu memanfaatkan fitur ini, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai metode serangan yang tersembunyi. Berikut adalah beberapa metode tipikal dan detail teknisnya:
(1) Otorisasi kontrak pintar berbahaya
Prinsip Teknologi:
Pada blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan wewenang kepada pihak ketiga untuk menarik jumlah token yang ditentukan dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga dimanfaatkan oleh penipu untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, mengarahkan pengguna untuk menghubungkan dompet dan mengklik "Approve". Secara permukaan adalah memberikan otorisasi untuk sejumlah kecil token, tetapi sebenarnya mungkin untuk jumlah yang tidak terbatas. Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga para korban sulit untuk mendapatkan kembali dana mereka melalui jalur hukum.
(2) penipuan tanda tangan
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan menggunakan kunci privat untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT siap untuk diklaim, silakan verifikasi dompet". Setelah mengklik tautan, mereka diarahkan ke situs web jahat yang meminta untuk menghubungkan dompet dan menandatangani "verifikasi transaksi". Transaksi ini sebenarnya mungkin langsung memindahkan aset atau memberikan kontrol atas koleksi NFT pengguna.
Contoh:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk membuat permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan pengiriman token ke alamat mana pun, bahkan jika penerima tidak meminta. Penipu memanfaatkan poin ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa dompet, melacak aktivitas dompet, dan mengaitkannya dengan pemilik.
Cara kerja:
Penyerang mengirimkan "debu" ke dompet pengguna dalam bentuk airdrop, dan token-token ini mungkin memiliki nama atau metadata yang menyesatkan. Ketika pengguna mengunjungi situs web terkait untuk memeriksa detail, penyerang dapat mengakses dompet pengguna melalui alamat kontrak. Lebih tersembunyi lagi, dengan menganalisis transaksi pengguna selanjutnya, mereka dapat mengunci alamat dompet yang aktif dan melakukan penipuan yang tepat.
Kasus:
Di jaringan Ethereum pernah terjadi serangan debu "token GAS", yang mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Keberhasilan jenis penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah dari Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal yang sulit dimengerti.
Legalitas di blockchain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan, untuk merancang bujukan yang canggih.
Penyamaran yang cerdas: Situs phishing mungkin menggunakan nama domain yang sangat mirip dengan yang resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency?
Menghadapi penipuan yang mengandung aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola izin otorisasi
Gunakan alat pemeriksaan otorisasi di browser Blockchain untuk secara berkala memeriksa catatan otorisasi dompet.
Batalkan otorisasi yang tidak perlu, terutama otorisasi tanpa batas untuk alamat yang tidak dikenal.
Sebelum memberikan otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Periksa nilai "Allowance", jika "tidak terbatas", harus segera dibatalkan.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter berlebih pada nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan ganda, yang mengharuskan beberapa kunci untuk mengonfirmasi transaksi.
Hati-hati dalam menangani permintaan tanda tangan
Bacalah detail transaksi dengan cermat setiap kali Anda menandatangani.
Gunakan fungsi analisis data dari Blockchain Explorer untuk menginterpretasikan konten tanda tangan.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi asal token melalui Blockchain browser, waspadai pengiriman massal.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban dari rencana penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan. Analisis data sebelum setiap tanda tangan dan pemeriksaan hak setelah setiap otorisasi adalah pembelaan terhadap kedaulatan digital mereka.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling penting selalu terletak pada: menginternalisasikan kesadaran akan keamanan sebagai kebiasaan, dan mencari keseimbangan antara kepercayaan dan verifikasi. Di dunia blockchain di mana kode adalah hukum, setiap klik dan setiap transaksi tercatat secara permanen dan tidak dapat diubah. Tetap waspada, agar dapat bergerak maju dengan aman.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
8 Suka
Hadiah
8
3
Bagikan
Komentar
0/400
EthMaximalist
· 07-30 11:35
Jalan yang besar sangat sederhana, smart contract bisa play people for suckers sendiri.
Blockchain protokol沦为诈骗利器 如何防范smart contract攻击
Tren Baru Penipuan Blockchain: Protokol Itu Sendiri Menjadi Senjata Serangan
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi pada saat yang sama juga membawa risiko keamanan baru. Berbeda dengan serangan tradisional yang bergantung pada kerentanan teknologi, penipu baru dengan cerdik mengubah protokol kontrak pintar Blockchain menjadi alat serangan. Mereka menggunakan jebakan rekayasa sosial yang dirancang dengan hati-hati, memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga memiliki daya tipu yang sangat kuat karena "tutupan" yang "legal". Artikel ini akan melalui analisis kasus, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan solusi perlindungan yang komprehensif, membantu pengguna bergerak dengan aman di dunia terdesentralisasi.
Satu, bagaimana protokol yang sah dapat berubah menjadi alat penipuan?
Protokol Blockchain awalnya dirancang untuk menjamin keamanan dan kepercayaan, namun penipu memanfaatkan fitur ini, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai metode serangan yang tersembunyi. Berikut adalah beberapa metode tipikal dan detail teknisnya:
(1) Otorisasi kontrak pintar berbahaya
Prinsip Teknologi: Pada blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan wewenang kepada pihak ketiga untuk menarik jumlah token yang ditentukan dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga dimanfaatkan oleh penipu untuk merancang kontrak jahat.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, mengarahkan pengguna untuk menghubungkan dompet dan mengklik "Approve". Secara permukaan adalah memberikan otorisasi untuk sejumlah kecil token, tetapi sebenarnya mungkin untuk jumlah yang tidak terbatas. Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga para korban sulit untuk mendapatkan kembali dana mereka melalui jalur hukum.
(2) penipuan tanda tangan
Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan menggunakan kunci privat untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT siap untuk diklaim, silakan verifikasi dompet". Setelah mengklik tautan, mereka diarahkan ke situs web jahat yang meminta untuk menghubungkan dompet dan menandatangani "verifikasi transaksi". Transaksi ini sebenarnya mungkin langsung memindahkan aset atau memberikan kontrol atas koleksi NFT pengguna.
Contoh: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk membuat permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan pengiriman token ke alamat mana pun, bahkan jika penerima tidak meminta. Penipu memanfaatkan poin ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa dompet, melacak aktivitas dompet, dan mengaitkannya dengan pemilik.
Cara kerja: Penyerang mengirimkan "debu" ke dompet pengguna dalam bentuk airdrop, dan token-token ini mungkin memiliki nama atau metadata yang menyesatkan. Ketika pengguna mengunjungi situs web terkait untuk memeriksa detail, penyerang dapat mengakses dompet pengguna melalui alamat kontrak. Lebih tersembunyi lagi, dengan menganalisis transaksi pengguna selanjutnya, mereka dapat mengunci alamat dompet yang aktif dan melakukan penipuan yang tepat.
Kasus: Di jaringan Ethereum pernah terjadi serangan debu "token GAS", yang mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Keberhasilan jenis penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah dari Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal yang sulit dimengerti.
Legalitas di blockchain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan, untuk merancang bujukan yang canggih.
Penyamaran yang cerdas: Situs phishing mungkin menggunakan nama domain yang sangat mirip dengan yang resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency?
Menghadapi penipuan yang mengandung aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola izin otorisasi
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban dari rencana penipuan tingkat tinggi, tetapi keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan. Analisis data sebelum setiap tanda tangan dan pemeriksaan hak setelah setiap otorisasi adalah pembelaan terhadap kedaulatan digital mereka.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling penting selalu terletak pada: menginternalisasikan kesadaran akan keamanan sebagai kebiasaan, dan mencari keseimbangan antara kepercayaan dan verifikasi. Di dunia blockchain di mana kode adalah hukum, setiap klik dan setiap transaksi tercatat secara permanen dan tidak dapat diubah. Tetap waspada, agar dapat bergerak maju dengan aman.