Ancaman Baru di Dunia Blockchain: Kerentanan Protokol Menjadi Alat Penipuan
Cryptocurrency dan teknologi Blockchain sedang mengubah lanskap keuangan, tetapi juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi telah mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Melalui perangkap rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilan "legitimasi"-nya.
Satu, bagaimana protokol yang sah bisa menjadi alat penipuan?
Protokol Blockchain awalnya dirancang untuk menjamin keamanan dan kepercayaan, tetapi penipu secara cerdik memanfaatkan fitur-fiturnya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan rincian teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberi wewenang kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk menghubungkan dompet dan memberikan otorisasi. Secara permukaan, ini adalah otorisasi sejumlah kecil token, tetapi sebenarnya bisa berupa batasan tak terbatas. Setelah otorisasi selesai, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Kasus nyata:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga korban kesulitan untuk memulihkan aset melalui jalur hukum.
(2) Tanda tangan phishing
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan keabsahan transaksi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, mengarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "verifikasi transaksi". Transaksi ini dapat secara langsung memindahkan aset pengguna, atau memberi wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing melalui tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke berbagai alamat dompet, melacak aktivitas dompet, dan mengaitkannya dengan individu atau perusahaan.
Cara kerja:
"Debu" akan didistribusikan ke dompet pengguna dalam bentuk airdrop, mungkin dengan nama atau metadata yang menyesatkan. Penipu menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet yang aktif, dan melakukan penipuan yang lebih tepat.
Kasus nyata:
Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu mereka berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka disembunyikan di dalam mekanisme sah Blockchain, sehingga pengguna biasa sulit membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali menyadari masalah setelahnya.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang cerdas: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas melalui sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang memiliki aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola izin otorisasi
Gunakan alat profesional untuk secara berkala memeriksa catatan otorisasi dompet.
Batalkan otorisasi yang tidak perlu, terutama otorisasi tanpa batas pada alamat yang tidak dikenal.
Sebelum memberikan izin, pastikan sumber DApp dapat dipercaya.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter tambahan pada nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Menggunakan alat tanda tangan multi untuk aset besar, memerlukan konfirmasi transaksi dari beberapa kunci.
Harap hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan seksama rincian transaksi di jendela dompet.
Gunakan blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.
Menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi sumber token melalui Blockchain explorer, waspadai pengiriman massal.
Hindari membagikan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kata Penutup
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada garis pertahanan teknologi, tetapi juga memerlukan pemahaman pengguna tentang logika otorisasi dan sikap berhati-hati terhadap perilaku di blockchain. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah pemeliharaan kedaulatan digital diri sendiri.
Dalam dunia Blockchain di mana kode adalah hukum, setiap klik dan setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, menginternalisasi kesadaran keamanan sebagai kebiasaan dan menjaga keseimbangan antara kepercayaan dan verifikasi adalah kunci untuk melindungi aset digital.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
13 Suka
Hadiah
13
6
Posting ulang
Bagikan
Komentar
0/400
GasFeeVictim
· 08-14 02:20
Setiap hari ada suckers yang dipermainkan, menyedihkan.
Lihat AsliBalas0
TrustMeBro
· 08-11 21:20
smart contract tidak lebih pintar daripada IQ
Lihat AsliBalas0
LiquidityWizard
· 08-11 12:44
Rumput sudah ada jebakan baru lagi
Lihat AsliBalas0
NftBankruptcyClub
· 08-11 12:42
Setiap generasi selalu ada suckers, satu demi satu terus-menerus dipermainkan.
Lihat AsliBalas0
not_your_keys
· 08-11 12:29
suckers lagi akan menderita
Lihat AsliBalas0
DecentralizeMe
· 08-11 12:19
Jangan panik, para suckers sudah terbiasa dengan hal-hal aneh.
Jebakan protokol Blockchain: Metode penipuan baru yang tersembunyi dalam smart contract
Ancaman Baru di Dunia Blockchain: Kerentanan Protokol Menjadi Alat Penipuan
Cryptocurrency dan teknologi Blockchain sedang mengubah lanskap keuangan, tetapi juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, tetapi telah mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Melalui perangkap rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilan "legitimasi"-nya.
Satu, bagaimana protokol yang sah bisa menjadi alat penipuan?
Protokol Blockchain awalnya dirancang untuk menjamin keamanan dan kepercayaan, tetapi penipu secara cerdik memanfaatkan fitur-fiturnya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan rincian teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberi wewenang kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk menghubungkan dompet dan memberikan otorisasi. Secara permukaan, ini adalah otorisasi sejumlah kecil token, tetapi sebenarnya bisa berupa batasan tak terbatas. Setelah otorisasi selesai, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Kasus nyata: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga korban kesulitan untuk memulihkan aset melalui jalur hukum.
(2) Tanda tangan phishing
Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan keabsahan transaksi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, mengarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "verifikasi transaksi". Transaksi ini dapat secara langsung memindahkan aset pengguna, atau memberi wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus nyata: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing melalui tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi: Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke berbagai alamat dompet, melacak aktivitas dompet, dan mengaitkannya dengan individu atau perusahaan.
Cara kerja: "Debu" akan didistribusikan ke dompet pengguna dalam bentuk airdrop, mungkin dengan nama atau metadata yang menyesatkan. Penipu menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet yang aktif, dan melakukan penipuan yang lebih tepat.
Kasus nyata: Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu mereka berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka disembunyikan di dalam mekanisme sah Blockchain, sehingga pengguna biasa sulit membedakan sifat jahatnya. Alasan utama termasuk:
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang memiliki aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola izin otorisasi
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Harap hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kata Penutup
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada garis pertahanan teknologi, tetapi juga memerlukan pemahaman pengguna tentang logika otorisasi dan sikap berhati-hati terhadap perilaku di blockchain. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah pemeliharaan kedaulatan digital diri sendiri.
Dalam dunia Blockchain di mana kode adalah hukum, setiap klik dan setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, menginternalisasi kesadaran keamanan sebagai kebiasaan dan menjaga keseimbangan antara kepercayaan dan verifikasi adalah kunci untuk melindungi aset digital.