Latar Belakang

Pada bagian sebelumnya dari Panduan Keamanan Web3, kita membahas risiko yang terkait dengan mengunduh atau membeli dompet, cara menemukan situs web resmi, metode untuk memverifikasi keaslian dompet, dan bahaya kebocoran kunci pribadi/frasa biji. Frasa 'Bukan kunci Anda, bukan koin Anda' menekankan pentingnya mengendalikan kunci pribadi Anda. Namun, ada situasi di mana bahkan memiliki kunci pribadi atau frasa biji tidak menjamin kontrol atas aset Anda, seperti ketika dompet dikompromikan oleh setup multisignature yang jahat.

Berdasarkan data yang dikumpulkan dari laporan dana yang dicuri MistTrack, beberapa pengguna menemukan bahwa dompet mereka berisi dana, tetapi mereka tidak dapat mentransfernya karena konfigurasi multisignature jahat. Dalam panduan ini, kami menggunakan dompet TRON sebagai contoh untuk menjelaskan konsep phishing multisignature, mekanisme sistem multisignature, taktik umum yang digunakan oleh peretas, dan strategi untuk mencegah dompet Anda dikonfigurasi dengan pengaturan multisignature yang jahat.

Mekanisme Tanda Tangan Ganda

Mekanisme multisignature (multisig) dirancang untuk meningkatkan keamanan dompet dengan memungkinkan beberapa pengguna untuk secara kolektif mengelola dan mengendalikan akses ke dompet aset digital. Pengaturan ini berarti bahwa bahkan jika beberapa pengelola kehilangan atau bocor kunci pribadi/frasa biji mereka, aset dalam dompet mungkin tetap aman.

Sistem multisignature TRON mencakup tiga tingkatan izin yang berbeda: Pemilik, Saksi, dan Aktif, masing-masing memiliki fungsi dan tujuan tertentu.

Izin Pemilik:

• Memegang tingkat otoritas tertinggi, mampu mengeksekusi semua kontrak dan operasi.

• Hanya pemilik yang dapat mengubah izin lainnya, termasuk menambahkan atau menghapus penandatangan.

• Ketika sebuah akun baru dibuat, akun itu sendiri secara default diberikan izin kepemilikan oleh pemiliknya.

Izin Saksi:

• Terutama terkait dengan Super Representatives, izin ini memungkinkan sebuah akun untuk berpartisipasi dalam proses pemilihan dan pemungutan suara untuk Super Representatives, serta mengelola operasi yang terkait dengan mereka.

Izin Aktif:

• Digunakan untuk operasi harian seperti transfer dan eksekusi kontrak pintar. Pemilik dapat menetapkan dan memodifikasi izin-izin ini, biasanya menugaskan mereka ke akun yang perlu melakukan tugas-tugas tertentu. Izin aktif mencakup berbagai tindakan yang diotorisasi, seperti transfer TRX dan penyetakan aset.

Seperti yang disebutkan sebelumnya, alamat akun baru secara otomatis menerima izin pemilik (tingkat tertinggi) secara default. Pemilik ini kemudian dapat menyesuaikan struktur izin akun, memutuskan alamat mana yang menerima izin, bobot dari izin tersebut, dan menetapkan ambang batas. Ambang batas menentukan bobot yang diperlukan dari tanda tangan untuk melaksanakan tindakan tertentu. Sebagai contoh, jika ambang batas diatur menjadi 2, dan masing-masing dari tiga alamat yang diotorisasi memiliki bobot 1, maka setidaknya dua pihak yang menandatangani harus menyetujui agar operasi dapat dilanjutkan.

Proses Tanda Tangan Majemuk yang Jahat

Ketika seorang peretas mendapatkan kunci pribadi atau frasa biji pengguna, dan pengguna belum menerapkan mekanisme multisignature (berarti dompet sepenuhnya dikendalikan oleh pengguna), peretas dapat memberi izin Pemilik/Aktif pada diri mereka sendiri atau mentransfer izin Pemilik/Aktif pengguna ke alamat mereka sendiri. Tindakan-tindakan ini umumnya disebut sebagai multisignature jahat, tetapi istilah ini dapat didefinisikan secara luas. Pada kenyataannya, situasi ini dapat dikategorikan berdasarkan apakah pengguna masih mempertahankan izin Pemilik/Aktif apa pun:

Memanfaatkan Mekanisme Tanda Tangan Ganda

Dalam skenario yang digambarkan di bawah ini, izin Pemilik/Aktif pengguna tidak dihapus; sebaliknya, peretas telah menambahkan alamat mereka sendiri sebagai pihak Pemilik/Aktif yang diizinkan. Akun sekarang dikontrol bersama oleh pengguna dan peretas, dengan ambang ditetapkan pada 2. Baik alamat pengguna maupun peretas memiliki bobot 1. Meskipun pengguna memiliki kunci pribadi/frasa benih dan mempertahankan izin Pemilik/Aktif, mereka tidak dapat mentransfer aset mereka. Hal ini karena setiap permintaan untuk mentransfer aset memerlukan persetujuan dari kedua pengguna dan peretas, karena kedua tanda tangan diperlukan agar operasi dapat dilanjutkan.

Sementara proses transfer aset dari dompet multisignature memerlukan tanda tangan ganda, mendepositkan dana ke dalam dompet tidak memerlukan hal tersebut. Jika pengguna tidak secara teratur memeriksa izin akun mereka atau belum melakukan transfer baru-baru ini, mereka mungkin tidak menyadari perubahan izin dompet mereka, yang dapat menyebabkan kerugian yang berkepanjangan. Jika dompet hanya berisi sejumlah kecil aset, para peretas mungkin menunggu sampai akun mengumpulkan lebih banyak aset sebelum mencurinya sekaligus.

Memanfaatkan Sistem Manajemen Izin TRON

Dalam skenario lain, peretas mengeksploitasi sistem manajemen izin TRON dengan langsung mentransfer izin Pemilik/Aktif pengguna ke alamat peretas, dengan ambang batas masih ditetapkan pada 1. Tindakan ini melucuti pengguna dari izin Pemilik/Aktif mereka, yang secara efektif menghapus kontrol mereka atas akun, bahkan "hak suara". Meskipun secara teknis ini bukan kasus multisignature berbahaya, ini biasanya disebut demikian.

Dalam kedua kasus tersebut, apakah pengguna tetap memiliki izin Pemilik/Aktif atau tidak, mereka kehilangan kendali aktual atas akun tersebut. Penjahat, yang kini memiliki izin tertinggi, dapat mengubah pengaturan akun dan mentransfer aset, sehingga pemilik sah tidak dapat mengelola dompet mereka.

Metode Serangan Multisignature Jahat

Berdasarkan data yang dikumpulkan dari laporan dana yang dicuri oleh MistTrack, kami telah mengidentifikasi beberapa penyebab umum dari serangan multisignature yang jahat. Pengguna harus waspada dalam situasi berikut:

1. Mendownload Dompet Palsu: Pengguna dapat mengunduh dompet palsu dengan mengklik tautan ke situs web penipuan yang dikirim melalui Telegram, Twitter, atau sumber lain. Hal ini dapat menyebabkan kebocoran kunci pribadi atau frasa benih, yang mengakibatkan serangan multisignature yang berbahaya.

2. Memasukkan Kunci Pribadi di Situs Phishing: Pengguna yang memasukkan kunci pribadi atau frasa benih mereka di situs phishing yang menawarkan layanan seperti kartu bahan bakar, kartu hadiah, atau VPN dapat kehilangan kontrol atas dompet mereka.

3. Perdagangan OTC: Selama transaksi OTC (over-the-counter), seseorang dapat merekam atau memperoleh kunci pribadi atau izin pengguna, yang dapat menyebabkan serangan multisignature yang jahat.

4. Penipuan yang Melibatkan Kunci Pribadi: Penipu dapat memberikan kunci pribadi, mengklaim bahwa mereka tidak dapat menarik aset dan menawarkan imbalan untuk bantuan. Meskipun dompet terkait tampak memiliki dana, izin penarikan dikonfigurasi ke alamat lain, mencegah transfer apa pun.

1. Tautan Phishing di TRON: Pengguna mungkin mengklik tautan phishing di TRON dan menandatangani data berbahaya, yang mengakibatkan setup multisignature yang berbahaya.

Kesimpulan

Dalam panduan ini, kami menggunakan dompet TRON sebagai contoh untuk menjelaskan mekanisme multisignature, bagaimana para hacker melakukan serangan multisignature yang jahat, dan taktik umum yang digunakan. Informasi ini bertujuan untuk meningkatkan pemahaman dan meningkatkan pencegahan terhadap serangan multisignature yang jahat. Selain itu, beberapa pengguna, terutama pemula, mungkin secara tidak sengaja mengonfigurasi dompet mereka untuk multisignature, memerlukan tanda tangan ganda untuk transfer. Dalam kasus seperti itu, pengguna perlu memenuhi persyaratan multisignature atau kembali ke tanda tangan tunggal dengan menugaskan izin Pemilik/Aktif hanya ke satu alamat.

Persetujuan Penafian:

1. Artikel ini dicetak ulang dari []. Semua hak cipta adalah milik penulis asli [**]. Jika ada keberatan dengan cetak ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
2. Penafian Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata merupakan milik penulis dan tidak merupakan saran investasi apa pun.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau melakukan plagiarisme terhadap artikel yang diterjemahkan dilarang.