smart contract otorisasi: Blockchain aman sebagai pedang bermata dua
Cryptocurrency dan teknologi Blockchain sedang mengubah bidang keuangan, tetapi perubahan ini juga membawa tantangan keamanan baru. Penyerang tidak lagi terbatas pada memanfaatkan kerentanan teknologi, melainkan mengubah protokol Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari smart contract yang dibangun dengan cermat hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilannya yang "legal". Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penyerang mengubah protokol menjadi sarana serangan, dan memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda bergerak aman di dunia terdesentralisasi.
I. Bagaimana Protokol Menjadi Alat Penipuan?
Protokol blockchain pada dasarnya bertujuan untuk menjamin keamanan dan kepercayaan, namun penyerang memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik dan rincian teknisnya:
(1) pemberian hak akses smart contract jahat
Prinsip Teknologi:
Pada blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan izin kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penyerang memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara Kerja:
Penyerang membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan diprovokasi untuk mengklik "Approve", yang tampaknya memberikan otorisasi sejumlah kecil token, padahal sebenarnya bisa jadi batas tanpa batas (nilai uint256.max). Begitu otorisasi selesai, alamat kontrak penyerang mendapatkan izin untuk kapan saja memanggil fungsi "TransferFrom", untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus Nyata:
Pada awal tahun 2023, situs phishing yang menyamar sebagai "pembaruan DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar dalam USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi adalah tanda tangan sukarela.
(2) tanda tangan phishing
Prinsip Teknologi:
Transaksi Blockchain membutuhkan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penyerang memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara Kerja:
Pengguna menerima email atau pesan media sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diambil, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs jahat yang meminta untuk menghubungkan dompet dan menandatangani transaksi "verifikasi". Transaksi ini sebenarnya bisa jadi memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penyerang; atau merupakan operasi "SetApprovalForAll", yang memberi wewenang kepada penyerang untuk mengontrol koleksi NFT pengguna.
Kasus Nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak meminta secara aktif. Penyerang memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara Kerja:
Penyerang mengirim sejumlah kecil cryptocurrency ke alamat yang berbeda, mencoba untuk menentukan mana yang milik dompet yang sama. Kemudian, menggunakan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban. Dalam banyak kasus, "debu" yang digunakan dalam serangan debu diberikan kepada dompet pengguna dalam bentuk airdrop, dan token ini mungkin memiliki nama atau metadata tertentu yang mengarahkan pengguna untuk mengunjungi situs web tertentu untuk informasi lebih lanjut.
Kasus Nyata:
Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, yang sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utamanya meliputi:
Kompleksitas Teknologi: Kode kontrak pintar dan permintaan tanda tangan sulit dipahami oleh pengguna non-teknis.
Legalitas di Blockchain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari konsekuensi dari otorisasi atau tanda tangan setelah kejadian.
Rekayasa sosial: Penyerang memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang Cerdas: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas melalui sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang memiliki aspek teknis dan perang psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak otorisasi
Gunakan alat pemeriksaan otorisasi di blockchain explorer untuk secara teratur memeriksa catatan otorisasi dompet.
Cabut otorisasi yang tidak perlu, terutama otorisasi tanpa batas untuk alamat yang tidak dikenal.
Sebelum memberikan otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan dalam media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter tambahan pada nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan ganda yang memerlukan konfirmasi transaksi dari beberapa kunci.
Hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan cermat rincian transaksi dalam pop-up dompet setiap kali melakukan tanda tangan.
Gunakan fungsi dekode pada blockchain explorer untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknis.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi sumber token melalui Blockchain browser, jika pengiriman massal, waspada tinggi.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Melakukan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat lanjut, tetapi keamanan sejati tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan.
Di masa depan, terlepas dari bagaimana teknologi berevolusi, garis pertahanan yang paling penting tetap adalah: menginternalisasi kesadaran keamanan menjadi kebiasaan, dan membangun keseimbangan antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen, tidak dapat diubah. Tetap waspada, bertindak hati-hati, agar dapat maju dengan aman di bidang keuangan digital yang baru ini.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
5 Suka
Hadiah
5
4
Posting ulang
Bagikan
Komentar
0/400
Degen4Breakfast
· 23jam yang lalu
Blockchain selamanya suckers
Lihat AsliBalas0
WagmiWarrior
· 23jam yang lalu
Ayo, semua buka mata lebar-lebar sebelum memberikan izin.
Lihat AsliBalas0
WalletWhisperer
· 23jam yang lalu
Pemuda semangat, khusus membuat Impermanent Loss
Lihat AsliBalas0
MEV_Whisperer
· 23jam yang lalu
Ingat, jejak adalah jalan utama! Daripada terus-menerus mempelajari otorisasi, lebih baik mempelajari prinsip MEV.
Risiko otorisasi smart contract: tantangan dan strategi perlindungan baru dalam keamanan Blockchain
smart contract otorisasi: Blockchain aman sebagai pedang bermata dua
Cryptocurrency dan teknologi Blockchain sedang mengubah bidang keuangan, tetapi perubahan ini juga membawa tantangan keamanan baru. Penyerang tidak lagi terbatas pada memanfaatkan kerentanan teknologi, melainkan mengubah protokol Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari smart contract yang dibangun dengan cermat hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya sulit dideteksi, tetapi juga lebih menipu karena penampilannya yang "legal". Artikel ini akan menganalisis kasus nyata, mengungkap bagaimana penyerang mengubah protokol menjadi sarana serangan, dan memberikan solusi komprehensif dari perlindungan teknis hingga pencegahan perilaku, membantu Anda bergerak aman di dunia terdesentralisasi.
I. Bagaimana Protokol Menjadi Alat Penipuan?
Protokol blockchain pada dasarnya bertujuan untuk menjamin keamanan dan kepercayaan, namun penyerang memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik dan rincian teknisnya:
(1) pemberian hak akses smart contract jahat
Prinsip Teknologi:
Pada blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga (biasanya smart contract) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan izin kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penyerang memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara Kerja:
Penyerang membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan diprovokasi untuk mengklik "Approve", yang tampaknya memberikan otorisasi sejumlah kecil token, padahal sebenarnya bisa jadi batas tanpa batas (nilai uint256.max). Begitu otorisasi selesai, alamat kontrak penyerang mendapatkan izin untuk kapan saja memanggil fungsi "TransferFrom", untuk menarik semua token yang sesuai dari dompet pengguna.
Kasus Nyata:
Pada awal tahun 2023, situs phishing yang menyamar sebagai "pembaruan DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar dalam USDT dan ETH. Data on-chain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi adalah tanda tangan sukarela.
(2) tanda tangan phishing
Prinsip Teknologi:
Transaksi Blockchain membutuhkan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi, untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penyerang memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara Kerja:
Pengguna menerima email atau pesan media sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diambil, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs jahat yang meminta untuk menghubungkan dompet dan menandatangani transaksi "verifikasi". Transaksi ini sebenarnya bisa jadi memanggil fungsi "Transfer", yang langsung mentransfer ETH atau token dari dompet ke alamat penyerang; atau merupakan operasi "SetApprovalForAll", yang memberi wewenang kepada penyerang untuk mengontrol koleksi NFT pengguna.
Kasus Nyata:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712 untuk memalsukan permintaan yang tampak aman.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak meminta secara aktif. Penyerang memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara Kerja:
Penyerang mengirim sejumlah kecil cryptocurrency ke alamat yang berbeda, mencoba untuk menentukan mana yang milik dompet yang sama. Kemudian, menggunakan informasi ini untuk melancarkan serangan phishing atau ancaman terhadap korban. Dalam banyak kasus, "debu" yang digunakan dalam serangan debu diberikan kepada dompet pengguna dalam bentuk airdrop, dan token ini mungkin memiliki nama atau metadata tertentu yang mengarahkan pengguna untuk mengunjungi situs web tertentu untuk informasi lebih lanjut.
Kasus Nyata:
Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, yang sulit bagi pengguna biasa untuk membedakan sifat jahatnya. Alasan utamanya meliputi:
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang memiliki aspek teknis dan perang psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola hak otorisasi
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kesimpulan
Melakukan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban skema penipuan tingkat lanjut, tetapi keamanan sejati tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan.
Di masa depan, terlepas dari bagaimana teknologi berevolusi, garis pertahanan yang paling penting tetap adalah: menginternalisasi kesadaran keamanan menjadi kebiasaan, dan membangun keseimbangan antara kepercayaan dan verifikasi. Dalam dunia blockchain di mana kode adalah hukum, setiap klik, setiap transaksi dicatat secara permanen, tidak dapat diubah. Tetap waspada, bertindak hati-hati, agar dapat maju dengan aman di bidang keuangan digital yang baru ini.