Blockchain dan keamanan aset kripto: mencegah teknologi penipuan baru
Aset Kripto dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi juga menghadirkan tantangan keamanan baru. Penipu tidak lagi terbatas pada pemanfaatan celah teknologi, melainkan dengan cerdik mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Mereka memanfaatkan perangkap rekayasa sosial yang dirancang dengan baik, menggabungkan transparansi dan sifat tidak dapat diubah dari Blockchain, mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas blok, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilannya yang "legitim".
Satu, bagaimana protokol menjadi alat penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan detail teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya kontrak pintar) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi (DeFi), di mana pengguna perlu memberikan otorisasi kepada kontrak pintar untuk menyelesaikan transaksi, staking, atau penambangan likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat aplikasi terdesentralisasi (DApp) yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan tergoda untuk mengklik "Approve", yang tampaknya memberikan otorisasi sejumlah kecil koin, tetapi sebenarnya bisa berupa batasan yang tidak terbatas. Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin untuk memanggil fungsi "TransferFrom" kapan saja, untuk menarik semua koin yang sesuai dari dompet pengguna.
(2) tanda tangan phishing
Prinsip Teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan keabsahan transaksi. Dompet biasanya akan mengeluarkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "NFT airdrop Anda menunggu untuk diambil, silakan verifikasi dompet". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung memindahkan ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberi wewenang kepada penipu untuk mengontrol koleksi NFT pengguna.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi:
Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil Aset Kripto ke beberapa alamat dompet untuk melacak aktivitas dompet dan mengaitkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja:
Dalam banyak kasus, "debu" yang digunakan dalam serangan debu didistribusikan ke dompet pengguna dalam bentuk airdrop, dan token-token ini mungkin memiliki nama atau metadata yang menarik, mendorong pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Pengguna mungkin mencoba mencairkan token-token ini, sementara penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token. Lebih tersembunyi, serangan debu dapat dilakukan melalui rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, sehingga dapat melakukan penipuan yang lebih tepat.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme sah Blockchain, yang membuat pengguna biasa sulit membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas Teknologi: Kode kontrak pintar dan permintaan tanda tangan mungkin sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal yang kompleks, dan pengguna tidak dapat dengan mudah menilai artinya.
Legalitas di blockchain: Semua transaksi dicatat di Blockchain, tampaknya transparan, tetapi korban seringkali baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan, untuk merancang jebakan penipuan yang menarik.
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan menambahkan kredibilitas melalui sertifikat HTTPS.
Tiga, bagaimana melindungi Dompet Aset Kripto Anda?
Menghadapi penipuan yang menggabungkan teknologi dan perang psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola izin otorisasi
Secara berkala menggunakan alat profesional untuk memeriksa catatan otorisasi dompet.
Batalkan otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak dikenal.
Sebelum memberikan otorisasi, pastikan DApp berasal dari sumber yang tepercaya.
Periksa nilai "Allowance", jika "tak terbatas", harus segera dibatalkan.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan pengetikan atau karakter tambahan dalam nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan ganda yang memerlukan beberapa kunci untuk mengonfirmasi transaksi.
Hati-hati dalam menangani permintaan tanda tangan
Setiap kali menandatangani, bacalah dengan cermat rincian transaksi di jendela dompet.
Gunakan fungsi penjelajahan Blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknis.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Setelah menerima koin yang tidak diketahui, jangan berinteraksi dengannya. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi asal token melalui blockchain explorer, jika dikirim secara massal, waspada tinggi.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan sikap hati-hati terhadap perilaku di blockchain adalah benteng terakhir untuk menahan serangan.
Setiap analisis data sebelum menandatangani, setiap pemeriksaan otorisasi setelahnya, adalah upaya untuk menjaga kedaulatan digital sendiri. Terlepas dari bagaimana teknologi berkembang di masa depan, garis pertahanan inti selalu adalah: menginternalisasi kesadaran keamanan menjadi kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, tetap waspada dan hati-hati sangat penting.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
25 Suka
Hadiah
25
8
Bagikan
Komentar
0/400
BitcoinDaddy
· 07-17 22:06
Penulis kode basis aplikasi privasi nol pengetahuan yang diakui
Lihat AsliBalas0
DeFiDoctor
· 07-17 20:22
Rekaman pemeriksaan menunjukkan: hampir tiga puluh persen pasien tidak melakukan isolasi risiko selama periode dompet dingin
Lihat AsliBalas0
ImpermanentTherapist
· 07-17 08:16
Tergantung seberapa baik otaknya.
Lihat AsliBalas0
WenAirdrop
· 07-15 19:21
Apakah lebih parah lagi dicuri? Sudah pernah dibilang bahwa proyek yang dapat diandalkan tidak sebanyak itu.
Lihat AsliBalas0
BridgeNomad
· 07-14 22:58
melihat pola eksploitasi serupa sejak nomad... dompet dingin = kit bertahan hidup saat ini
Lihat AsliBalas0
CryptoComedian
· 07-14 22:52
Tutorial melindungi suckers dari play people for suckers hari ini: Ma Qian Pao
Lihat AsliBalas0
tokenomics_truther
· 07-14 22:49
Sudah lama, masih ada orang yang akan tertipu.
Lihat AsliBalas0
CryptoTarotReader
· 07-14 22:41
Terlentang rugi satu koin itu apa, investor ritel mati massal baru itu yang normal.
Mengungkap metode baru penipuan blockchain: Mencegah jebakan otorisasi smart contract
Blockchain dan keamanan aset kripto: mencegah teknologi penipuan baru
Aset Kripto dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi juga menghadirkan tantangan keamanan baru. Penipu tidak lagi terbatas pada pemanfaatan celah teknologi, melainkan dengan cerdik mengubah protokol kontrak pintar Blockchain itu sendiri menjadi alat serangan. Mereka memanfaatkan perangkap rekayasa sosial yang dirancang dengan baik, menggabungkan transparansi dan sifat tidak dapat diubah dari Blockchain, mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan kontrak pintar hingga manipulasi transaksi lintas blok, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilannya yang "legitim".
Satu, bagaimana protokol menjadi alat penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakteristiknya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa teknik umum dan detail teknisnya:
(1) Otorisasi kontrak pintar jahat
Prinsip Teknologi: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan otorisasi kepada pihak ketiga (biasanya kontrak pintar) untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol keuangan terdesentralisasi (DeFi), di mana pengguna perlu memberikan otorisasi kepada kontrak pintar untuk menyelesaikan transaksi, staking, atau penambangan likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja: Penipu membuat aplikasi terdesentralisasi (DApp) yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet dan tergoda untuk mengklik "Approve", yang tampaknya memberikan otorisasi sejumlah kecil koin, tetapi sebenarnya bisa berupa batasan yang tidak terbatas. Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin untuk memanggil fungsi "TransferFrom" kapan saja, untuk menarik semua koin yang sesuai dari dompet pengguna.
(2) tanda tangan phishing
Prinsip Teknis: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan keabsahan transaksi. Dompet biasanya akan mengeluarkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima email atau pesan yang menyamar sebagai pemberitahuan resmi, seperti "NFT airdrop Anda menunggu untuk diambil, silakan verifikasi dompet". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya mungkin memanggil fungsi "Transfer", yang langsung memindahkan ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberi wewenang kepada penipu untuk mengontrol koleksi NFT pengguna.
(3) Token palsu dan "serangan debu"
Prinsip Teknologi: Keterbukaan Blockchain memungkinkan siapa saja untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak secara aktif meminta. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil Aset Kripto ke beberapa alamat dompet untuk melacak aktivitas dompet dan mengaitkannya dengan individu atau perusahaan yang memiliki dompet tersebut.
Cara kerja: Dalam banyak kasus, "debu" yang digunakan dalam serangan debu didistribusikan ke dompet pengguna dalam bentuk airdrop, dan token-token ini mungkin memiliki nama atau metadata yang menarik, mendorong pengguna untuk mengunjungi situs web tertentu untuk memeriksa detailnya. Pengguna mungkin mencoba mencairkan token-token ini, sementara penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token. Lebih tersembunyi, serangan debu dapat dilakukan melalui rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengunci alamat dompet aktif pengguna, sehingga dapat melakukan penipuan yang lebih tepat.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme sah Blockchain, yang membuat pengguna biasa sulit membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:
Kompleksitas Teknologi: Kode kontrak pintar dan permintaan tanda tangan mungkin sulit dipahami oleh pengguna non-teknis. Misalnya, permintaan "Approve" mungkin ditampilkan sebagai data heksadesimal yang kompleks, dan pengguna tidak dapat dengan mudah menilai artinya.
Legalitas di blockchain: Semua transaksi dicatat di Blockchain, tampaknya transparan, tetapi korban seringkali baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian, dan pada saat itu aset sudah tidak dapat dipulihkan.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan, untuk merancang jebakan penipuan yang menarik.
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan menambahkan kredibilitas melalui sertifikat HTTPS.
Tiga, bagaimana melindungi Dompet Aset Kripto Anda?
Menghadapi penipuan yang menggabungkan teknologi dan perang psikologis, melindungi aset memerlukan strategi berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:
Periksa dan kelola izin otorisasi
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda mendistribusikan risiko, pemahaman pengguna tentang logika otorisasi dan sikap hati-hati terhadap perilaku di blockchain adalah benteng terakhir untuk menahan serangan.
Setiap analisis data sebelum menandatangani, setiap pemeriksaan otorisasi setelahnya, adalah upaya untuk menjaga kedaulatan digital sendiri. Terlepas dari bagaimana teknologi berkembang di masa depan, garis pertahanan inti selalu adalah: menginternalisasi kesadaran keamanan menjadi kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, tetap waspada dan hati-hati sangat penting.