Kerentanan smart contract: Tantangan baru dalam keamanan Blockchain
Kryptocurrency dan teknologi Blockchain sedang membentuk ulang sistem keuangan, tetapi juga membawa ancaman keamanan baru. Berbeda dengan kerentanan teknologi tradisional, beberapa penjahat mulai menggunakan smart contract blockchain itu sendiri sebagai alat serangan. Mereka merancang jebakan rekayasa sosial dengan cermat, memanfaatkan transparansi dan ketidakberubahannya dari blockchain untuk mengubah kepercayaan pengguna menjadi sarana pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilan "legal" mereka. Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana para penjahat mengubah protokol menjadi sarana serangan, dan memberikan strategi perlindungan yang komprehensif.
I. Bagaimana Protokol Menjadi Alat Penipuan?
Protokol Blockchain seharusnya menjamin keamanan dan kepercayaan, tetapi pihak-pihak yang tidak bertanggung jawab memanfaatkan karakteristiknya, bersama dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi:
(1) Otorisasi smart contract jahat
Prinsip Teknologi:
Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik sejumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh pelaku kejahatan.
Cara kerja:
Pelaku kejahatan membuat DApp yang menyamar sebagai proyek yang sah, mengelabui pengguna untuk menghubungkan dompet dan memberikan otorisasi. Secara superficial, ini adalah otorisasi sejumlah kecil token, tetapi sebenarnya bisa jadi tanpa batas. Setelah otorisasi selesai, pelaku kejahatan dapat kapan saja menarik semua token yang sesuai dari dompet pengguna.
(2) Penipuan tanda tangan
Prinsip Teknologi:
Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci privat. Penjahat memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja:
Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, dan diarahkan ke situs web jahat untuk menandatangani "verifikasi transaksi". Transaksi ini dapat langsung memindahkan aset pengguna atau memberikan otorisasi untuk mengendalikan koleksi NFT pengguna.
(3) Token palsu dan "serangan debu"
Prinsip teknis:
Keterbukaan Blockchain memungkinkan pengiriman token ke alamat mana pun. Penjahat memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency untuk melacak aktivitas dompet.
Cara kerja:
Pelaku kejahatan mengeluarkan token "serpihan" dalam bentuk airdrop untuk menarik pengguna mengunjungi situs tertentu untuk melihat detailnya. Dengan menganalisis transaksi pengguna selanjutnya, mereka mengunci alamat dompet yang aktif dan melakukan penipuan yang ditargetkan.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil terutama karena mereka tersembunyi dalam mekanisme legal Blockchain:
Kompleksitas teknis: Kode smart contract dan permintaan tanda tangan sulit dipahami oleh pengguna biasa.
Legalitas di atas rantai: Semua transaksi dicatat di Blockchain, tampak transparan, tetapi korban sering kali baru menyadari masalah setelahnya.
Rekayasa sosial: memanfaatkan kelemahan manusia, seperti keserakahan, ketakutan, atau kepercayaan.
Penipuan yang canggih: Situs phishing mungkin menggunakan URL yang mirip dengan nama domain resmi, bahkan meningkatkan kepercayaan dengan sertifikat HTTPS.
Tiga, bagaimana melindungi dompet cryptocurrency?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi berlapis.
Periksa dan kelola izin otorisasi
Gunakan alat pemeriksaan otorisasi untuk secara berkala meninjau catatan otorisasi dompet.
Cabut otorisasi yang tidak perlu, terutama otorisasi batas tak terbatas terhadap alamat yang tidak dikenal.
Pastikan sumber DApp tepercaya sebelum memberikan otorisasi.
Verifikasi tautan dan sumber
Masukkan URL resmi secara manual, hindari mengklik tautan dalam media sosial atau email.
Pastikan situs web menggunakan nama domain dan sertifikat SSL yang benar.
Waspadai kesalahan pengetikan nama domain atau karakter berlebih.
menggunakan cold wallet dan multi-signature
Simpan sebagian besar aset di dompet keras, hanya sambungkan ke jaringan saat diperlukan.
Gunakan alat tanda tangan multi untuk aset besar, yang memerlukan beberapa kunci untuk mengonfirmasi transaksi.
Hati-hati dalam menangani permintaan tanda tangan
Bacalah rincian transaksi dengan cermat setiap kali menandatangani.
Gunakan alat untuk menganalisis konten tanda tangan, atau konsultasikan dengan ahli.
Buat dompet terpisah untuk operasi berisiko tinggi, simpan sejumlah kecil aset.
menangani serangan debu
Setelah menerima token yang tidak dikenal, jangan berinteraksi, tandai sebagai "sampah" atau sembunyikan.
Konfirmasi sumber token melalui Blockchain explorer.
Hindari mengungkapkan alamat dompet, atau gunakan alamat baru untuk melakukan operasi sensitif.
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko, tetapi keamanan sejati tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah garis pertahanan terakhir. Analisis data sebelum setiap tanda tangan, serta pemeriksaan otoritas setelah setiap otorisasi, adalah pemeliharaan kedaulatan digital.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan inti selalu terletak pada: menginternalisasi kesadaran keamanan sebagai kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Di dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Tetap waspada agar dapat melangkah dengan aman.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
22 Suka
Hadiah
22
7
Bagikan
Komentar
0/400
BlockchainTherapist
· 07-24 02:10
Tipu baru di tempat lama, jalannya tidak berubah, masih terlalu serakah~
Lihat AsliBalas0
MidnightSnapHunter
· 07-21 02:43
Beli koin saja tidak bisa, masih mau kontrak? Sarankan untuk mundur.
Lihat AsliBalas0
SelfMadeRuggee
· 07-21 02:43
Ini bukanlah hal baru.. Banyak proyek yang sudah dooomed.
Lihat AsliBalas0
AirdropBuffet
· 07-21 02:38
Blockchain itu seperti lubang, setiap langkah ada jebakan.
Lihat AsliBalas0
FancyResearchLab
· 07-21 02:37
Sekali lagi, sebuah jebakan pintar yang harus Rug Pull dalam waktu kurang dari 24 jam, nilai akademisnya sangat tinggi.
Lihat AsliBalas0
SatoshiNotNakamoto
· 07-21 02:37
奥这个合约jebakan多着呢 别碰
Lihat AsliBalas0
MaticHoleFiller
· 07-21 02:14
Teknologi sejati masih harus mengandalkan pengisian lubang
smart contract menjadi alat baru penipuan: analisis komprehensif ancaman keamanan Blockchain dan strategi perlindungan
Kerentanan smart contract: Tantangan baru dalam keamanan Blockchain
Kryptocurrency dan teknologi Blockchain sedang membentuk ulang sistem keuangan, tetapi juga membawa ancaman keamanan baru. Berbeda dengan kerentanan teknologi tradisional, beberapa penjahat mulai menggunakan smart contract blockchain itu sendiri sebagai alat serangan. Mereka merancang jebakan rekayasa sosial dengan cermat, memanfaatkan transparansi dan ketidakberubahannya dari blockchain untuk mengubah kepercayaan pengguna menjadi sarana pencurian aset. Dari pemalsuan smart contract hingga manipulasi transaksi lintas rantai, serangan ini tidak hanya tersembunyi dan sulit dilacak, tetapi juga lebih menipu karena penampilan "legal" mereka. Artikel ini akan menganalisis melalui contoh, mengungkap bagaimana para penjahat mengubah protokol menjadi sarana serangan, dan memberikan strategi perlindungan yang komprehensif.
I. Bagaimana Protokol Menjadi Alat Penipuan?
Protokol Blockchain seharusnya menjamin keamanan dan kepercayaan, tetapi pihak-pihak yang tidak bertanggung jawab memanfaatkan karakteristiknya, bersama dengan kelalaian pengguna, untuk menciptakan berbagai cara serangan yang tersembunyi:
(1) Otorisasi smart contract jahat
Prinsip Teknologi: Di blockchain seperti Ethereum, standar token ERC-20 memungkinkan pengguna untuk memberikan izin kepada pihak ketiga untuk menarik sejumlah token tertentu dari dompet mereka melalui fungsi "Approve". Fitur ini banyak digunakan dalam protokol DeFi, tetapi juga disalahgunakan oleh pelaku kejahatan.
Cara kerja: Pelaku kejahatan membuat DApp yang menyamar sebagai proyek yang sah, mengelabui pengguna untuk menghubungkan dompet dan memberikan otorisasi. Secara superficial, ini adalah otorisasi sejumlah kecil token, tetapi sebenarnya bisa jadi tanpa batas. Setelah otorisasi selesai, pelaku kejahatan dapat kapan saja menarik semua token yang sesuai dari dompet pengguna.
(2) Penipuan tanda tangan
Prinsip Teknologi: Transaksi Blockchain memerlukan pengguna untuk menghasilkan tanda tangan melalui kunci privat. Penjahat memanfaatkan proses ini untuk memalsukan permintaan tanda tangan dan mencuri aset.
Cara kerja: Pengguna menerima pesan yang menyamar sebagai pemberitahuan resmi, dan diarahkan ke situs web jahat untuk menandatangani "verifikasi transaksi". Transaksi ini dapat langsung memindahkan aset pengguna atau memberikan otorisasi untuk mengendalikan koleksi NFT pengguna.
(3) Token palsu dan "serangan debu"
Prinsip teknis: Keterbukaan Blockchain memungkinkan pengiriman token ke alamat mana pun. Penjahat memanfaatkan hal ini dengan mengirimkan sejumlah kecil cryptocurrency untuk melacak aktivitas dompet.
Cara kerja: Pelaku kejahatan mengeluarkan token "serpihan" dalam bentuk airdrop untuk menarik pengguna mengunjungi situs tertentu untuk melihat detailnya. Dengan menganalisis transaksi pengguna selanjutnya, mereka mengunci alamat dompet yang aktif dan melakukan penipuan yang ditargetkan.
Dua, mengapa penipuan ini sulit terdeteksi?
Penipuan ini berhasil terutama karena mereka tersembunyi dalam mekanisme legal Blockchain:
Tiga, bagaimana melindungi dompet cryptocurrency?
Menghadapi penipuan yang mengandung perang teknologi dan psikologis, melindungi aset memerlukan strategi berlapis.
Periksa dan kelola izin otorisasi
Verifikasi tautan dan sumber
menggunakan cold wallet dan multi-signature
Hati-hati dalam menangani permintaan tanda tangan
menangani serangan debu
Kesimpulan
Melaksanakan langkah-langkah keamanan di atas dapat secara signifikan mengurangi risiko, tetapi keamanan sejati tidak hanya bergantung pada teknologi. Ketika dompet perangkat keras membangun garis pertahanan fisik dan tanda tangan ganda menyebarkan risiko, pemahaman pengguna tentang logika otorisasi dan kehati-hatian terhadap perilaku di blockchain adalah garis pertahanan terakhir. Analisis data sebelum setiap tanda tangan, serta pemeriksaan otoritas setelah setiap otorisasi, adalah pemeliharaan kedaulatan digital.
Di masa depan, terlepas dari bagaimana teknologi berkembang, garis pertahanan inti selalu terletak pada: menginternalisasi kesadaran keamanan sebagai kebiasaan, dan menjaga keseimbangan antara kepercayaan dan verifikasi. Di dunia Blockchain, setiap klik, setiap transaksi dicatat secara permanen dan tidak dapat diubah. Tetap waspada agar dapat melangkah dengan aman.