Blockchain penipuan tren baru: protokol menjadi senjata penyerang
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali sistem keuangan, tetapi juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan kerentanan teknis, tetapi mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Mereka memanfaatkan perangkap rekayasa sosial yang dirancang dengan cermat, menggabungkan transparansi dan ketidakberubahan Blockchain, untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena "penutup legal"-nya. Artikel ini akan melalui analisis kasus untuk mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan strategi perlindungan yang komprehensif.
I. Bagaimana Protokol yang Sah Berubah Menjadi Alat Penipuan
Tujuan dari protokol Blockchain adalah untuk menjamin keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan detail teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip teknis:
Standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk menghubungkan dompet dan memberikan izin. Secara permukaan, ini memberikan izin untuk sejumlah kecil token, tetapi sebenarnya bisa jadi tanpa batas. Setelah izin diberikan, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh:
Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan kerugian besar bagi ratusan pengguna dalam bentuk USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga korban kesulitan untuk mendapatkan kembali dana mereka melalui jalur hukum.
(2) tanda tangan phishing
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci privat. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi dan diarahkan ke situs web berbahaya untuk melakukan "verifikasi". Sebenarnya, mereka mungkin telah menandatangani transaksi untuk memindahkan aset atau memberikan wewenang kontrol NFT.
Kasus:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency untuk melacak aktivitas dompet.
Cara kerja:
Penipu mengirimkan token kecil ke beberapa alamat, yang mungkin memiliki nama yang menyesatkan. Saat pengguna mencoba untuk mencairkan, penyerang mungkin mendapatkan akses ke dompet. Selain itu, dengan menganalisis transaksi berikutnya, penipu dapat mengidentifikasi alamat aktif pengguna dan melakukan penipuan yang lebih tepat.
Contoh:
Serangan debu "token GAS" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token lainnya karena rasa ingin tahu untuk berinteraksi.
Dua, Alasan Mengapa Penipuan Ini Sulit Terdeteksi
Penipuan ini berhasil terutama karena mereka tersembunyi dalam mekanisme sah Blockchain, sehingga sulit bagi pengguna biasa untuk mengenali sifat jahatnya. Alasan kuncinya termasuk:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas on-chain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari masalah setelahnya.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang Canggih: Situs phishing mungkin menggunakan URL yang sangat mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas melalui sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency Anda
Menghadapi penipuan yang menggabungkan aspek teknis dan psikologis, melindungi aset memerlukan strategi bertingkat.
Periksa dan kelola izin otorisasi
Gunakan alat profesional untuk memeriksa catatan otorisasi dompet
Secara berkala mencabut otorisasi yang tidak perlu, terutama otorisasi tanpa batas untuk alamat yang tidak dikenal
Pastikan sumber DApp tepercaya sebelum setiap otorisasi
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email
Periksa dengan teliti nama domain situs web dan sertifikat SSL
Menggunakan dompet dingin dan tanda tangan ganda
Menyimpan sebagian besar aset di dompet perangkat keras
Gunakan alat tanda tangan ganda untuk aset besar, memerlukan konfirmasi transaksi dari beberapa kunci
Hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan teliti rincian transaksi di jendela dompet
Gunakan alat profesional untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi
Buat dompet terpisah untuk operasi berisiko tinggi, hanya menyimpan sedikit aset
Menanggapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi
Konfirmasi sumber token melalui Blockchain Explorer
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk operasi sensitif
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat lanjut. Namun, keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan sikap hati-hati terhadap perilaku on-chain adalah garis pertahanan terakhir.
Di masa depan, terlepas dari bagaimana teknologi berkembang, perlindungan inti selalu terletak pada menginternalisasi kesadaran keamanan sebagai kebiasaan, menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, membangun kesadaran keamanan dan kebiasaan baik sangat penting.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
9 Suka
Hadiah
9
4
Bagikan
Komentar
0/400
ForkMonger
· 15jam yang lalu
lmao protokol hanyalah vektor serangan yang menunggu untuk terjadi... darwin memang benar
Protokol Blockchain Menjadi Senjata Baru Penipuan: Sulit Terdeteksi, Pengguna Harus Meningkatkan Kewaspadaan
Blockchain penipuan tren baru: protokol menjadi senjata penyerang
Kryptocurrency dan teknologi Blockchain sedang membentuk kembali sistem keuangan, tetapi juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas pada memanfaatkan kerentanan teknis, tetapi mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Mereka memanfaatkan perangkap rekayasa sosial yang dirancang dengan cermat, menggabungkan transparansi dan ketidakberubahan Blockchain, untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena "penutup legal"-nya. Artikel ini akan melalui analisis kasus untuk mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan memberikan strategi perlindungan yang komprehensif.
I. Bagaimana Protokol yang Sah Berubah Menjadi Alat Penipuan
Tujuan dari protokol Blockchain adalah untuk menjamin keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan detail teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip teknis: Standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk menghubungkan dompet dan memberikan izin. Secara permukaan, ini memberikan izin untuk sejumlah kecil token, tetapi sebenarnya bisa jadi tanpa batas. Setelah izin diberikan, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan kerugian besar bagi ratusan pengguna dalam bentuk USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga korban kesulitan untuk mendapatkan kembali dana mereka melalui jalur hukum.
(2) tanda tangan phishing
Prinsip teknis: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci privat. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi dan diarahkan ke situs web berbahaya untuk melakukan "verifikasi". Sebenarnya, mereka mungkin telah menandatangani transaksi untuk memindahkan aset atau memberikan wewenang kontrol NFT.
Kasus: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi: Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan mengirim sejumlah kecil cryptocurrency untuk melacak aktivitas dompet.
Cara kerja: Penipu mengirimkan token kecil ke beberapa alamat, yang mungkin memiliki nama yang menyesatkan. Saat pengguna mencoba untuk mencairkan, penyerang mungkin mendapatkan akses ke dompet. Selain itu, dengan menganalisis transaksi berikutnya, penipu dapat mengidentifikasi alamat aktif pengguna dan melakukan penipuan yang lebih tepat.
Contoh: Serangan debu "token GAS" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token lainnya karena rasa ingin tahu untuk berinteraksi.
Dua, Alasan Mengapa Penipuan Ini Sulit Terdeteksi
Penipuan ini berhasil terutama karena mereka tersembunyi dalam mekanisme sah Blockchain, sehingga sulit bagi pengguna biasa untuk mengenali sifat jahatnya. Alasan kuncinya termasuk:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas on-chain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari masalah setelahnya.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang Canggih: Situs phishing mungkin menggunakan URL yang sangat mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas melalui sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency Anda
Menghadapi penipuan yang menggabungkan aspek teknis dan psikologis, melindungi aset memerlukan strategi bertingkat.
Periksa dan kelola izin otorisasi
Verifikasi tautan dan sumber
Menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
Menanggapi serangan debu
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat lanjut. Namun, keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan sikap hati-hati terhadap perilaku on-chain adalah garis pertahanan terakhir.
Di masa depan, terlepas dari bagaimana teknologi berkembang, perlindungan inti selalu terletak pada menginternalisasi kesadaran keamanan sebagai kebiasaan, menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, membangun kesadaran keamanan dan kebiasaan baik sangat penting.