Dunia Blockchain dan Perangkap Tersembunyi: Bagaimana smart contract Menjadi Alat Pencurian Aset

Kryptocurrency dan teknologi Blockchain sedang membentuk kembali konsep kebebasan finansial, tetapi revolusi ini juga membawa tantangan keamanan baru. Penipu tidak lagi terbatas untuk memanfaatkan celah teknis, melainkan mengubah protokol smart contract Blockchain itu sendiri menjadi alat serangan. Melalui jebakan rekayasa sosial yang dirancang dengan baik, mereka memanfaatkan transparansi dan ketidakberbalikan Blockchain untuk mengubah kepercayaan pengguna menjadi alat pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga sangat menipu karena penampilannya yang "legal".

I. Bagaimana perjanjian yang sah bisa menjadi alat penipuan?

Protokol Blockchain seharusnya memastikan keamanan dan kepercayaan, tetapi penipu dengan cerdik memanfaatkan karakteristiknya, bersama dengan kelalaian pengguna, menciptakan berbagai cara serangan yang tersembunyi. Berikut adalah beberapa metode umum dan rincian teknisnya:

(1) Otorisasi smart contract jahat

Prinsip teknis: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik jumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, di mana pengguna perlu memberikan izin kepada smart contract untuk menyelesaikan transaksi, staking, atau mining likuiditas. Namun, penipu memanfaatkan mekanisme ini untuk merancang kontrak jahat.

Cara kerja: Penipu membuat DApp yang menyamar sebagai proyek yang sah, biasanya dipromosikan melalui situs phishing atau media sosial. Pengguna menghubungkan dompet mereka dan dipancing untuk mengklik "Approve", yang tampaknya memberikan otorisasi untuk sejumlah kecil token, padahal sebenarnya mungkin untuk jumlah yang tidak terbatas. Setelah otorisasi selesai, alamat kontrak penipu mendapatkan izin, dan dapat mengambil semua token yang sesuai dari dompet pengguna kapan saja.

Kasus nyata: Pada awal tahun 2023, sebuah situs phishing yang menyamar sebagai "upgrade DEX tertentu" menyebabkan ratusan pengguna kehilangan jutaan dolar AS dalam USDT dan ETH. Data di blockchain menunjukkan bahwa transaksi ini sepenuhnya sesuai dengan standar ERC-20, dan korban bahkan tidak dapat memulihkan kerugian mereka melalui jalur hukum, karena otorisasi ditandatangani secara sukarela.

(2) tanda tangan phishing

Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci pribadi untuk membuktikan keabsahan transaksi. Dompet biasanya akan memunculkan permintaan tanda tangan, setelah konfirmasi pengguna, transaksi akan disiarkan ke jaringan. Penipu memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.

Cara kerja: Pengguna menerima email atau pesan media sosial yang menyamar sebagai pemberitahuan resmi, seperti "Airdrop NFT Anda siap untuk diambil, silakan verifikasi dompet Anda". Setelah mengklik tautan, pengguna diarahkan ke situs web berbahaya yang meminta untuk menghubungkan dompet dan menandatangani "transaksi verifikasi". Transaksi ini sebenarnya bisa memanggil fungsi "Transfer", yang langsung memindahkan ETH atau token dari dompet ke alamat penipu; atau merupakan operasi "SetApprovalForAll", yang memberikan wewenang kepada penipu untuk mengontrol koleksi NFT pengguna.

Kasus nyata: Sebuah komunitas proyek NFT terkenal mengalami serangan phishing tanda tangan, di mana beberapa pengguna kehilangan NFT senilai jutaan dolar karena menandatangani transaksi "klaim airdrop" yang dipalsukan. Penyerang memanfaatkan standar tanda tangan EIP-712, memalsukan permintaan yang tampaknya aman.

(3) Token palsu dan "serangan debu"

Prinsip Teknologi: Keterbukaan Blockchain memungkinkan siapa pun untuk mengirim token ke alamat mana pun, bahkan jika penerima tidak meminta secara aktif. Penipu memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency ke beberapa alamat dompet untuk melacak aktivitas dompet dan menghubungkannya dengan individu atau perusahaan yang memiliki dompet tersebut.

Cara kerja: Dalam kebanyakan kasus, "debu" yang digunakan dalam serangan debu didistribusikan dalam bentuk airdrop ke dompet pengguna, token-token ini mungkin memiliki nama atau metadata yang menarik, yang mengarahkan pengguna untuk mengunjungi situs web tertentu untuk mencari tahu lebih lanjut. Pengguna mungkin mencoba untuk menukar token ini, sehingga penyerang dapat mengakses dompet pengguna melalui alamat kontrak yang menyertai token. Lebih tersembunyi, penyerang akan menggunakan rekayasa sosial, menganalisis transaksi pengguna selanjutnya, mengidentifikasi alamat dompet aktif pengguna, untuk melaksanakan penipuan yang lebih tepat.

Kasus Nyata: Dahulu, serangan debu dari suatu "token bahan bakar" yang muncul di jaringan Ethereum memengaruhi ribuan dompet. Beberapa pengguna kehilangan ETH dan token ERC-20 karena rasa ingin tahu untuk berinteraksi.

Dua, mengapa penipuan ini sulit dideteksi?

Kejadian penipuan ini berhasil, sebagian besar karena mereka tersembunyi dalam mekanisme legal Blockchain, membuat pengguna biasa sulit untuk membedakan sifat jahatnya. Berikut adalah beberapa alasan kunci:

1. Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan mungkin sulit dipahami bagi pengguna non-teknis. Misalnya, permintaan "Approve" dapat ditampilkan sebagai data heksadesimal yang rumit, dan pengguna tidak dapat dengan mudah menilai artinya.

2. Legalitas di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari akibat dari otorisasi atau tanda tangan setelah fakta, dan pada saat itu aset sudah tidak dapat dipulihkan.

3. Rekayasa sosial: Penipu memanfaatkan kelemahan manusia, seperti keserakahan ("dapatkan token gratis"), ketakutan ("akun tidak normal perlu diverifikasi"), atau kepercayaan (menyamar sebagai layanan pelanggan).

4. Penyamaran yang Cerdik: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan menambah kredibilitas melalui sertifikat HTTPS.

Tiga, bagaimana melindungi dompet cryptocurrency Anda?

Menghadapi penipuan yang menggabungkan aspek teknis dan psikologis, melindungi aset memerlukan strategi yang berlapis. Berikut adalah langkah-langkah pencegahan yang rinci:

Periksa dan kelola hak otorisasi

• Gunakan alat pemeriksaan otorisasi pada penjelajah Blockchain untuk memeriksa catatan otorisasi dompet.
• Secara teratur mencabut otorisasi yang tidak perlu, terutama untuk otorisasi tanpa batas pada alamat yang tidak dikenal.
• Pastikan DApp berasal dari sumber yang tepercaya sebelum memberikan otorisasi.
• Periksa nilai "Allowance", jika "tidak terbatas" (seperti 2^256-1), harus segera dibatalkan.

Verifikasi tautan dan sumber

• Masukkan URL resmi secara manual, hindari mengklik tautan di media sosial atau email.
• Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar (ikon kunci hijau).
• Waspadai kesalahan ejaan atau karakter yang berlebihan.

menggunakan dompet dingin dan tanda tangan ganda

• Simpan sebagian besar aset di dompet perangkat keras, hanya sambungkan ke jaringan saat diperlukan.
• Untuk aset besar, gunakan alat tanda tangan ganda yang mengharuskan beberapa kunci untuk mengonfirmasi transaksi, mengurangi risiko kesalahan titik tunggal.

Hati-hati dalam menangani permintaan tanda tangan

• Bacalah dengan cermat rincian transaksi di jendela pop-up dompet setiap kali menandatangani.
• Gunakan fungsi "Dekode Data Masukan" di penjelajah Blockchain untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli teknologi.
• Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.

mengatasi serangan debu

• Setelah menerima token yang tidak dikenal, jangan berinteraksi. Tandai sebagai "sampah" atau sembunyikan.
• Konfirmasi sumber token melalui Blockchain Explorer, jika pengiriman massal, waspada tinggi.
• Hindari membagikan alamat dompet secara publik, atau gunakan alamat baru untuk melakukan operasi sensitif.

Kesimpulan

Dengan menerapkan langkah-langkah keamanan di atas, pengguna dapat secara signifikan mengurangi risiko menjadi korban program penipuan tingkat tinggi. Namun, keamanan yang sebenarnya tidak hanya bergantung pada alat teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah benteng terakhir untuk melawan serangan.

Setiap analisis data sebelum tanda tangan, setiap pemeriksaan izin setelah otorisasi, adalah pemeliharaan kedaulatan digital diri sendiri. Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan yang paling inti selalu terletak pada: menginternalisasi kesadaran keamanan menjadi kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Dalam dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Oleh karena itu, mengembangkan sikap hati-hati dan pemahaman yang mendalam akan menjadi kunci untuk memastikan keamanan aset.