Protokol smart contract: Bahaya Tersembunyi dan Cara Pencegahannya
Kryptocurrency dan teknologi blockchain sedang membentuk kembali konsep kebebasan finansial, namun revolusi ini juga membawa tantangan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, melainkan mengubah protokol smart contract blockchain itu sendiri menjadi alat serangan. Mereka dengan cerdik merancang jebakan rekayasa sosial, memanfaatkan transparansi dan ketidakberbalikan blockchain, mengubah kepercayaan pengguna menjadi sarana untuk mencuri aset. Dari smart contract yang dirancang dengan cermat hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilannya yang 'legal'. Artikel ini akan menganalisis melalui kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan menyediakan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda menjelajahi dunia terdesentralisasi dengan aman.
Satu, bagaimana protokol menjadi alat penipuan?
Tujuan dari protokol blockchain adalah untuk menjamin keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik dan penjelasan detail teknisnya:
(1) otorisasi smart contract jahat
Prinsip teknis:
Di beberapa blockchain, standar token tertentu memungkinkan pengguna untuk memberi wewenang kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau penambangan likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat aplikasi terdesentralisasi yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan tergoda untuk mengklik "Approve", yang tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya bisa jadi dalam jumlah tak terbatas. Setelah izin selesai, alamat kontrak penipu mendapatkan hak akses, dapat kapan saja memanggil fungsi "TransferFrom" untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus nyata:
Pada awal tahun 2023, situs phishing yang menyamar sebagai peningkatan dari salah satu bursa terdesentralisasi terkenal menyebabkan ratusan pengguna kehilangan jutaan dolar dalam stablecoin dan token asli. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar token, dan para korban bahkan tidak dapat memulihkannya melalui jalur hukum, karena otorisasi ditandatangani secara sukarela.
(2) penandatanganan phishing
Prinsip Teknologi:
Transaksi blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan menampilkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi dikirim ke jaringan. Penipu memanfaatkan proses ini, memalsukan permintaan tanda tangan untuk mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan dari platform sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung memindahkan aset dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberi wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus Nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan tertentu untuk memalsukan permintaan yang tampak aman.
(3) token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet, untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut. Serangan dimulai dengan mengirimkan debu, mengirimkan sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian penyerang mencoba mencari tahu mana yang milik dompet yang sama. Selanjutnya, penyerang memanfaatkan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban.
Cara kerja:
Biasanya, "debu" yang digunakan dalam serangan debu diberikan kepada dompet pengguna dalam bentuk airdrop, dan token-token ini mungkin memiliki nama atau metadata tertentu yang mengundang pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Pengguna mungkin ingin mencairkan token-token ini, sementara penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token. Lebih tersembunyi, serangan debu dapat melalui rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, sehingga dapat melaksanakan penipuan yang lebih tepat.
Kasus nyata:
Sebuah serangan debu "token GAS" pernah terjadi di suatu jaringan blockchain, yang mempengaruhi ribuan dompet. Beberapa pengguna kehilangan token asli dan token lainnya karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, dalam banyak hal, karena mereka tersembunyi dalam mekanisme sah blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknologi:
Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai serangkaian data heksadesimal, yang membuat pengguna sulit untuk secara intuitif menilai artinya.
Legalitas di atas rantai:
Semua transaksi dicatat di blockchain, tampak transparan, tetapi korban sering kali hanya menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial:
Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan token besar secara gratis"), ketakutan ("akun tidak normal perlu diverifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan).
Penyamaran yang canggih:
Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan menambah kredibilitas dengan sertifikat HTTPS.
Menghadapi penipuan yang menggabungkan aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola izin otorisasi
Alat: Gunakan pemeriksa otorisasi dari penjelajah blockchain atau alat pembatalan khusus untuk memeriksa catatan otorisasi dompet.
Tindakan: Secara berkala mencabut otorisasi yang tidak perlu, terutama otorisasi tanpa batas pada alamat yang tidak dikenal. Sebelum setiap otorisasi, pastikan aplikasi terdesentralisasi berasal dari sumber yang tepercaya.
Detail teknis: Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), harus segera dibatalkan.
Verifikasi tautan dan sumber
Metode: Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Periksa: Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau). Waspadai kesalahan ejaan atau karakter tambahan.
Menggunakan dompet dingin dan tanda tangan ganda
Dompet dingin: Menyimpan sebagian besar aset di dompet perangkat keras, hanya terhubung ke jaringan saat diperlukan.
Multi-signature: Untuk aset bernilai tinggi, gunakan alat multi-signature yang memerlukan beberapa kunci untuk mengonfirmasi transaksi, mengurangi risiko kesalahan titik tunggal.
Hati-hati dalam menangani permintaan tanda tangan
Langkah: Bacalah dengan seksama detail transaksi di jendela pop-up dompet setiap kali Anda menandatangani. Beberapa dompet akan menampilkan kolom "Data", jika mencakup fungsi yang tidak dikenal (seperti "TransferFrom"), tolak untuk menandatangani.
Alat: Gunakan fungsi dekode penjelajah blockchain untuk menganalisis konten tanda tangan, atau berkonsultasi dengan ahli teknologi.
Saran: Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Strategi: Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Periksa: Konfirmasikan sumber token melalui penjelajah blockchain, jika dikirim dalam jumlah besar, waspadai.
Pencegahan: Hindari membagikan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan sejati tidak pernah hanya kemenangan satu sisi teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk menghadapi serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah sumpah terhadap kedaulatan digital mereka sendiri.
Di masa depan, terlepas dari bagaimana teknologi beriterasi, garis pertahanan paling inti selalu terletak pada: menginternalisasi kesadaran keamanan menjadi memori otot, membangun keseimbangan abadi antara kepercayaan dan verifikasi. Setelah semua, di dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
8
Bagikan
Komentar
0/400
Web3ProductManager
· 3jam yang lalu
melihat metrik perjalanan pengguna kami, di sinilah kami kehilangan 68,4% pendatang baru web3... titik gesekan yang brutal sejujurnya
Lihat AsliBalas0
MEVHunterZhang
· 14jam yang lalu
Jadi Anda datang lagi untuk menjual kecemasan keamanan, ya?
Lihat AsliBalas0
MetaEggplant
· 14jam yang lalu
Blockchain Tentara Merah baru saja membodohi suckers
Lihat AsliBalas0
BankruptWorker
· 14jam yang lalu
Suckers sebenarnya harus ditanam sampai kapan baru ada yang peduli?
Lihat AsliBalas0
NFT_Therapy
· 14jam yang lalu
又有pemula被骗了吧
Lihat AsliBalas0
StableGenius
· 14jam yang lalu
seperti yang diprediksi... hari lain, eksploitasi protokol lainnya. tidak ada yang lagi membaca bytecode smh
Lihat AsliBalas0
BearMarketSunriser
· 14jam yang lalu
4 tahun pengalaman suckers hanya satu pemahaman: sekarang semakin banyak yang saya mengerti, semakin banyak yang saya rugi.
Lihat AsliBalas0
BlockchainArchaeologist
· 15jam yang lalu
Sekali lagi ada buku teks standar, sama saja dengan tidak mengatakan apa-apa.
Panduan lengkap untuk pencegahan risiko protokol smart contract: dari jebakan otorisasi hingga phishing tanda tangan
Protokol smart contract: Bahaya Tersembunyi dan Cara Pencegahannya
Kryptocurrency dan teknologi blockchain sedang membentuk kembali konsep kebebasan finansial, namun revolusi ini juga membawa tantangan baru. Penipu tidak lagi terbatas pada memanfaatkan celah teknologi, melainkan mengubah protokol smart contract blockchain itu sendiri menjadi alat serangan. Mereka dengan cerdik merancang jebakan rekayasa sosial, memanfaatkan transparansi dan ketidakberbalikan blockchain, mengubah kepercayaan pengguna menjadi sarana untuk mencuri aset. Dari smart contract yang dirancang dengan cermat hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilannya yang 'legal'. Artikel ini akan menganalisis melalui kasus nyata, mengungkap bagaimana penipu mengubah protokol menjadi sarana serangan, dan menyediakan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda menjelajahi dunia terdesentralisasi dengan aman.
Satu, bagaimana protokol menjadi alat penipuan?
Tujuan dari protokol blockchain adalah untuk menjamin keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik dan penjelasan detail teknisnya:
(1) otorisasi smart contract jahat
Prinsip teknis: Di beberapa blockchain, standar token tertentu memungkinkan pengguna untuk memberi wewenang kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi, di mana pengguna perlu memberikan otorisasi kepada smart contract untuk menyelesaikan transaksi, staking, atau penambangan likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja: Penipu membuat aplikasi terdesentralisasi yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan tergoda untuk mengklik "Approve", yang tampaknya memberikan izin untuk sejumlah kecil token, padahal sebenarnya bisa jadi dalam jumlah tak terbatas. Setelah izin selesai, alamat kontrak penipu mendapatkan hak akses, dapat kapan saja memanggil fungsi "TransferFrom" untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus nyata: Pada awal tahun 2023, situs phishing yang menyamar sebagai peningkatan dari salah satu bursa terdesentralisasi terkenal menyebabkan ratusan pengguna kehilangan jutaan dolar dalam stablecoin dan token asli. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar token, dan para korban bahkan tidak dapat memulihkannya melalui jalur hukum, karena otorisasi ditandatangani secara sukarela.
(2) penandatanganan phishing
Prinsip Teknologi: Transaksi blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan menampilkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi dikirim ke jaringan. Penipu memanfaatkan proses ini, memalsukan permintaan tanda tangan untuk mencuri aset.
Cara kerja: Pengguna menerima email atau pesan dari platform sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diklaim, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung memindahkan aset dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberi wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus Nyata: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan tertentu untuk memalsukan permintaan yang tampak aman.
(3) token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet, untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut. Serangan dimulai dengan mengirimkan debu, mengirimkan sejumlah kecil cryptocurrency ke alamat yang berbeda, kemudian penyerang mencoba mencari tahu mana yang milik dompet yang sama. Selanjutnya, penyerang memanfaatkan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban.
Cara kerja: Biasanya, "debu" yang digunakan dalam serangan debu diberikan kepada dompet pengguna dalam bentuk airdrop, dan token-token ini mungkin memiliki nama atau metadata tertentu yang mengundang pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Pengguna mungkin ingin mencairkan token-token ini, sementara penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang disertakan dengan token. Lebih tersembunyi, serangan debu dapat melalui rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, sehingga dapat melaksanakan penipuan yang lebih tepat.
Kasus nyata: Sebuah serangan debu "token GAS" pernah terjadi di suatu jaringan blockchain, yang mempengaruhi ribuan dompet. Beberapa pengguna kehilangan token asli dan token lainnya karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, dalam banyak hal, karena mereka tersembunyi dalam mekanisme sah blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas teknologi: Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai serangkaian data heksadesimal, yang membuat pengguna sulit untuk secara intuitif menilai artinya.
Legalitas di atas rantai: Semua transaksi dicatat di blockchain, tampak transparan, tetapi korban sering kali hanya menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan token besar secara gratis"), ketakutan ("akun tidak normal perlu diverifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan).
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan menambah kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang menggabungkan aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Alat: Gunakan pemeriksa otorisasi dari penjelajah blockchain atau alat pembatalan khusus untuk memeriksa catatan otorisasi dompet.
Tindakan: Secara berkala mencabut otorisasi yang tidak perlu, terutama otorisasi tanpa batas pada alamat yang tidak dikenal. Sebelum setiap otorisasi, pastikan aplikasi terdesentralisasi berasal dari sumber yang tepercaya.
Detail teknis: Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), harus segera dibatalkan.
Metode: Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Periksa: Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau). Waspadai kesalahan ejaan atau karakter tambahan.
Dompet dingin: Menyimpan sebagian besar aset di dompet perangkat keras, hanya terhubung ke jaringan saat diperlukan.
Multi-signature: Untuk aset bernilai tinggi, gunakan alat multi-signature yang memerlukan beberapa kunci untuk mengonfirmasi transaksi, mengurangi risiko kesalahan titik tunggal.
Langkah: Bacalah dengan seksama detail transaksi di jendela pop-up dompet setiap kali Anda menandatangani. Beberapa dompet akan menampilkan kolom "Data", jika mencakup fungsi yang tidak dikenal (seperti "TransferFrom"), tolak untuk menandatangani.
Alat: Gunakan fungsi dekode penjelajah blockchain untuk menganalisis konten tanda tangan, atau berkonsultasi dengan ahli teknologi.
Saran: Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Strategi: Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Periksa: Konfirmasikan sumber token melalui penjelajah blockchain, jika dikirim dalam jumlah besar, waspadai.
Pencegahan: Hindari membagikan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat tinggi, tetapi keamanan sejati tidak pernah hanya kemenangan satu sisi teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk menghadapi serangan. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah sumpah terhadap kedaulatan digital mereka sendiri.
Di masa depan, terlepas dari bagaimana teknologi beriterasi, garis pertahanan paling inti selalu terletak pada: menginternalisasi kesadaran keamanan menjadi memori otot, membangun keseimbangan abadi antara kepercayaan dan verifikasi. Setelah semua, di dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen di dunia rantai, tidak dapat diubah.