Tren Penipuan Blockchain Baru: Smart Contract Menjadi Alat Serangan
Cryptocurrency dan teknologi Blockchain sedang membentuk kembali lanskap keuangan, tetapi juga melahirkan ancaman baru. Penipu tidak hanya bergantung pada celah teknologi, tetapi juga mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberpihakan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilan 'legal' mereka.
I. Bagaimana smart contract menjadi alat penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode umum dan rincian teknisnya:
(1) Otorisasi smart contract jahat
Prinsip teknis:
Standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja:
Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk memberikan otorisasi. Secara permukaan, ini adalah otorisasi sejumlah kecil token, tetapi sebenarnya bisa berupa batas tanpa akhir. Setelah otorisasi selesai, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh:
Pada awal tahun 2023, situs phishing yang menyamar sebagai upgrade DEX menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga korban kesulitan untuk mendapatkan kembali aset mereka.
(2) tanda tangan phishing
Prinsip teknis:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, diarahkan ke situs web jahat untuk menandatangani "verifikasi transaksi". Transaksi ini sebenarnya dapat langsung memindahkan aset pengguna atau memberikan wewenang kepada penipu untuk mengendalikan NFT pengguna.
Contoh:
Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan.
(3) Token palsu dan "serangan debu"
Prinsip teknis:
Penipu memanfaatkan keterbukaan Blockchain untuk mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet, guna melacak aktivitas dompet dan mengaitkan informasi pribadi.
Cara kerja:
Penipu memberikan token "debu" dalam bentuk airdrop, menarik pengguna untuk mengunjungi situs web tertentu untuk memeriksa rincian. Dengan menganalisis transaksi pengguna selanjutnya, mereka mengunci alamat dompet yang aktif dan melakukan penipuan yang lebih tepat.
Contoh:
Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena interaksi yang penasaran.
Dua, mengapa penipuan ini sulit dideteksi?
Keberhasilan penipuan ini terutama disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah Blockchain, sehingga pengguna biasa sulit untuk membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami bagi pengguna non-teknis.
Legalitas di on-chain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis ini, melindungi aset memerlukan strategi berlapis.
Periksa dan kelola hak akses yang diberikan
Gunakan alat pemeriksaan otorisasi di blockchain explorer untuk secara berkala memeriksa catatan otorisasi dompet.
Batalkan otorisasi yang tidak perlu, terutama otorisasi tanpa batas untuk alamat yang tidak dikenal.
Pastikan sumber DApp dapat dipercaya sebelum memberikan otorisasi.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan ejaan atau karakter berlebih pada nama domain.
menggunakan dompet dingin dan tanda tangan ganda
Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
Untuk aset besar, gunakan alat tanda tangan ganda, yang memerlukan konfirmasi transaksi dari beberapa kunci.
Hati-hati dalam menangani permintaan tanda tangan
Bacalah dengan cermat rincian transaksi di jendela pop-up dompet setiap kali Anda menandatangani.
Gunakan fungsi dekode dari penjelajah Blockchain untuk menganalisis konten tanda tangan.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sedikit aset.
Menghadapi serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
Konfirmasi asal token melalui Blockchain browser, waspadai pengiriman massal.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada perlindungan teknologi, tetapi juga memerlukan pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah sumpah atas kedaulatan digital mereka sendiri.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling penting selalu terletak pada: menginternalisasi kesadaran keamanan menjadi kebiasaan, menjaga keseimbangan antara kepercayaan dan verifikasi. Di dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, mengembangkan kesadaran keamanan dan kebiasaan operasi yang hati-hati sangat penting.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
7 Suka
Hadiah
7
6
Posting ulang
Bagikan
Komentar
0/400
BlockDetective
· 18jam yang lalu
防不胜防的jebakan
Lihat AsliBalas0
SchroedingersFrontrun
· 22jam yang lalu
Otorisasi bisa menjadi jebakan besar, saudara-saudara.
Lihat AsliBalas0
RugPullAlarm
· 22jam yang lalu
Penggunaan otorisasi harus dilakukan dengan hati-hati
Lihat AsliBalas0
DegenWhisperer
· 23jam yang lalu
Lubang ada di dalam kontrak.
Lihat AsliBalas0
DAOplomacy
· 23jam yang lalu
Hanya memperbarui jebakan lama
Lihat AsliBalas0
liquiditea_sipper
· 23jam yang lalu
Kemajuan teknologi memiliki keuntungan dan kerugian.
Tren baru penipuan smart contract: jebakan keamanan Blockchain dan strategi pencegahan
Tren Penipuan Blockchain Baru: Smart Contract Menjadi Alat Serangan
Cryptocurrency dan teknologi Blockchain sedang membentuk kembali lanskap keuangan, tetapi juga melahirkan ancaman baru. Penipu tidak hanya bergantung pada celah teknologi, tetapi juga mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan cermat, mereka memanfaatkan transparansi dan ketidakberpihakan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilan 'legal' mereka.
I. Bagaimana smart contract menjadi alat penipuan?
Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu memanfaatkan karakternya, dikombinasikan dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode umum dan rincian teknisnya:
(1) Otorisasi smart contract jahat
Prinsip teknis: Standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.
Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, menggoda pengguna untuk memberikan otorisasi. Secara permukaan, ini adalah otorisasi sejumlah kecil token, tetapi sebenarnya bisa berupa batas tanpa akhir. Setelah otorisasi selesai, penipu dapat menarik semua token yang sesuai dari dompet pengguna kapan saja.
Contoh: Pada awal tahun 2023, situs phishing yang menyamar sebagai upgrade DEX menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Transaksi ini sepenuhnya sesuai dengan standar ERC-20, sehingga korban kesulitan untuk mendapatkan kembali aset mereka.
(2) tanda tangan phishing
Prinsip teknis: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, diarahkan ke situs web jahat untuk menandatangani "verifikasi transaksi". Transaksi ini sebenarnya dapat langsung memindahkan aset pengguna atau memberikan wewenang kepada penipu untuk mengendalikan NFT pengguna.
Contoh: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, banyak pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan.
(3) Token palsu dan "serangan debu"
Prinsip teknis: Penipu memanfaatkan keterbukaan Blockchain untuk mengirim sejumlah kecil cryptocurrency ke beberapa alamat dompet, guna melacak aktivitas dompet dan mengaitkan informasi pribadi.
Cara kerja: Penipu memberikan token "debu" dalam bentuk airdrop, menarik pengguna untuk mengunjungi situs web tertentu untuk memeriksa rincian. Dengan menganalisis transaksi pengguna selanjutnya, mereka mengunci alamat dompet yang aktif dan melakukan penipuan yang lebih tepat.
Contoh: Serangan debu "GAS token" pernah terjadi di jaringan Ethereum, mempengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena interaksi yang penasaran.
Dua, mengapa penipuan ini sulit dideteksi?
Keberhasilan penipuan ini terutama disebabkan oleh fakta bahwa mereka tersembunyi dalam mekanisme sah Blockchain, sehingga pengguna biasa sulit untuk membedakan sifat jahatnya. Alasan utama termasuk:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami bagi pengguna non-teknis.
Legalitas di on-chain: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering baru menyadari akibat dari otorisasi atau tanda tangan setelah kejadian.
Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penyamaran yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kredibilitas dengan sertifikat HTTPS.
Tiga, bagaimana cara melindungi dompet cryptocurrency Anda?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis ini, melindungi aset memerlukan strategi berlapis.
Periksa dan kelola hak akses yang diberikan
Verifikasi tautan dan sumber
menggunakan dompet dingin dan tanda tangan ganda
Hati-hati dalam menangani permintaan tanda tangan
Menghadapi serangan debu
Kesimpulan
Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada perlindungan teknologi, tetapi juga memerlukan pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain. Setiap analisis data sebelum tanda tangan, setiap pemeriksaan hak setelah otorisasi, adalah sumpah atas kedaulatan digital mereka sendiri.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling penting selalu terletak pada: menginternalisasi kesadaran keamanan menjadi kebiasaan, menjaga keseimbangan antara kepercayaan dan verifikasi. Di dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, mengembangkan kesadaran keamanan dan kebiasaan operasi yang hati-hati sangat penting.