Ancaman Baru di Dunia Blockchain: Kombinasi Kerentanan Protokol dan Rekayasa Sosial
Kryptocurrency dan teknologi Blockchain sedang mendefinisikan ulang kebebasan finansial, tetapi pada saat yang sama juga membawa tantangan keamanan baru. Penipu tidak lagi hanya memanfaatkan celah teknologi, tetapi juga mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain, mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi tetapi juga memiliki daya tipu yang lebih kuat karena penampilan "legitimasi"-nya.
Satu, bagaimana protokol diubah menjadi alat penipuan?
Tujuan dari protokol Blockchain adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi.
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi:
Standar token ERC-20 memungkinkan pengguna untuk memberi otorisasi kepada pihak ketiga untuk menarik sejumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk memberikan izin. Secara superficially, ini adalah izin jumlah token yang sedikit, tetapi sebenarnya bisa berupa jumlah tak terbatas. Setelah izin diberikan, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh:
Pada awal 2023, sebuah situs web phishing yang menyamar sebagai "pembaruan DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga sulit bagi korban untuk mendapatkan kembali uang mereka melalui jalur hukum.
(2) tanda tangan phishing
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, diarahkan ke situs web berbahaya untuk menandatangani "verifikasi transaksi". Transaksi ini dapat langsung memindahkan aset pengguna atau memberikan wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan.
(3) token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan melacak aktivitas dompet melalui pengiriman sejumlah kecil cryptocurrency.
Cara kerja:
Penipu mengirimkan token dalam jumlah kecil ke beberapa alamat, token-token ini mungkin memiliki nama yang menyesatkan. Ketika pengguna mencoba untuk mencairkan, penyerang mungkin mendapatkan akses ke dompet atau melakukan penipuan yang lebih tepat.
Contoh:
Serangan debu "token GAS" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token lainnya karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit terdeteksi?
Keberhasilan penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utamanya meliputi:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas di on-chain: Semua transaksi dicatat di Blockchain, terlihat transparan, tetapi korban sering kali baru menyadari masalah setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Kamuflase yang Canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola izin otorisasi
Gunakan alat pemeriksaan otorisasi untuk secara berkala meninjau catatan otorisasi dompet.
Batalkan otorisasi yang tidak perlu, terutama otorisasi tak terbatas untuk alamat yang tidak dikenal.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras.
Gunakan alat tanda tangan ganda untuk aset besar, yang memerlukan konfirmasi transaksi dari beberapa kunci.
Hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan seksama rincian transaksi di jendela dompet.
Menggunakan fungsi penjelajah Blockchain untuk menganalisis konten tanda tangan.
Menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi.
Konfirmasi sumber token melalui blockchain browser.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada alat teknis. Pemahaman pengguna tentang logika otorisasi dan sikap hati-hati terhadap perilaku di blockchain adalah garis pertahanan terakhir untuk melawan serangan.
Dalam dunia Blockchain, setiap tanda tangan dan setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, menginternalisasi kesadaran keamanan sebagai kebiasaan sehari-hari dan menjaga keseimbangan antara kepercayaan dan verifikasi sangat penting untuk melindungi aset digital. Seiring dengan perkembangan teknologi yang terus menerus, kewaspadaan dan pengetahuan pengguna juga perlu mengikuti perkembangan zaman, agar dapat berlayar dengan aman di dunia keuangan digital yang penuh peluang dan risiko ini.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
14 Suka
Hadiah
14
8
Bagikan
Komentar
0/400
RooftopReserver
· 11jam yang lalu
Hati-hati semua, perlahan-lahan lihat teman lama sudah di atap.
Lihat AsliBalas0
MissingSats
· 07-03 08:20
Pajak IQ play people for suckers sudah dimulai lagi
Lihat AsliBalas0
GateUser-bd883c58
· 07-02 05:49
suckers lagi akan menderita
Lihat AsliBalas0
MetaReckt
· 07-02 05:48
Sekali lagi, ini adalah jebakan smart contract. Bagi yang pernah merugi, silakan lewat.
Lihat AsliBalas0
SmartContractRebel
· 07-02 05:43
Dengan keamanan seperti ini, masih berani bilang web3?
Lihat AsliBalas0
ClassicDumpster
· 07-02 05:42
Saudara-saudara di blockchain, perhatikan izin dengan baik ya.
Lihat AsliBalas0
SellTheBounce
· 07-02 05:41
suckers selamanya adalah suckers tidak ada habisnya
Tren baru penipuan Blockchain: ancaman kombinasi celah protokol dan teknik rekayasa sosial
Ancaman Baru di Dunia Blockchain: Kombinasi Kerentanan Protokol dan Rekayasa Sosial
Kryptocurrency dan teknologi Blockchain sedang mendefinisikan ulang kebebasan finansial, tetapi pada saat yang sama juga membawa tantangan keamanan baru. Penipu tidak lagi hanya memanfaatkan celah teknologi, tetapi juga mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain, mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi tetapi juga memiliki daya tipu yang lebih kuat karena penampilan "legitimasi"-nya.
Satu, bagaimana protokol diubah menjadi alat penipuan?
Tujuan dari protokol Blockchain adalah untuk memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi.
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi: Standar token ERC-20 memungkinkan pengguna untuk memberi otorisasi kepada pihak ketiga untuk menarik sejumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh penipu.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk memberikan izin. Secara superficially, ini adalah izin jumlah token yang sedikit, tetapi sebenarnya bisa berupa jumlah tak terbatas. Setelah izin diberikan, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh: Pada awal 2023, sebuah situs web phishing yang menyamar sebagai "pembaruan DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga sulit bagi korban untuk mendapatkan kembali uang mereka melalui jalur hukum.
(2) tanda tangan phishing
Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, diarahkan ke situs web berbahaya untuk menandatangani "verifikasi transaksi". Transaksi ini dapat langsung memindahkan aset pengguna atau memberikan wewenang kepada penipu untuk mengendalikan koleksi NFT pengguna.
Kasus: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan.
(3) token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun. Penipu memanfaatkan hal ini dengan melacak aktivitas dompet melalui pengiriman sejumlah kecil cryptocurrency.
Cara kerja: Penipu mengirimkan token dalam jumlah kecil ke beberapa alamat, token-token ini mungkin memiliki nama yang menyesatkan. Ketika pengguna mencoba untuk mencairkan, penyerang mungkin mendapatkan akses ke dompet atau melakukan penipuan yang lebih tepat.
Contoh: Serangan debu "token GAS" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token lainnya karena interaksi yang didorong rasa ingin tahu.
Dua, mengapa penipuan ini sulit terdeteksi?
Keberhasilan penipuan ini sebagian besar disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah Blockchain, sehingga sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utamanya meliputi:
Kompleksitas teknis: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas di on-chain: Semua transaksi dicatat di Blockchain, terlihat transparan, tetapi korban sering kali baru menyadari masalah setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Kamuflase yang Canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi yang berlapis-lapis:
Periksa dan kelola izin otorisasi
Verifikasi tautan dan sumber
Menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada alat teknis. Pemahaman pengguna tentang logika otorisasi dan sikap hati-hati terhadap perilaku di blockchain adalah garis pertahanan terakhir untuk melawan serangan.
Dalam dunia Blockchain, setiap tanda tangan dan setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, menginternalisasi kesadaran keamanan sebagai kebiasaan sehari-hari dan menjaga keseimbangan antara kepercayaan dan verifikasi sangat penting untuk melindungi aset digital. Seiring dengan perkembangan teknologi yang terus menerus, kewaspadaan dan pengetahuan pengguna juga perlu mengikuti perkembangan zaman, agar dapat berlayar dengan aman di dunia keuangan digital yang penuh peluang dan risiko ini.