Saya ingat seseorang di dalam grup pernah membagikan pepatah bijak: “Jika Anda tidak tahu siapa yang menghasilkan keuntungan, maka Anda lah yang menghasilkannya.” Ini benar-benar membuat saya merenung. Prinsip yang sama berlaku untuk keamanan menggunakan dompet kripto. Jika Anda tidak yakin apa yang terlibat dalam tindakan tertentu, maka setiap interaksi atau tanda tangan on-chain yang Anda buat bisa mengancam kehilangan aset dompet Anda.

Baru-baru ini, Scam Sniffer merilis laporan phishing pertengahan 2024: Hanya dalam separuh pertama tahun ini, 260.000 korban terkena phishing di rantai EVM (rantai berbasis Ethereum), yang mengakibatkan kerugian total mencapai $314 juta. Untuk memberi gambaran, jumlah ini sudah melebihi kerugian $295 juta akibat serangan phishing sepanjang tahun 2023, dan hanya butuh enam bulan untuk mencapai angka ini, seperti yang terlihat dalam grafik di bawah ini.

Laporan ini menyoroti bahwa sebagian besar pencurian token ERC20 terjadi dari tanda tangan phishing, seperti Permit (tanda tangan otorisasi offline), Increase Allowance (memperluas batas otorisasi), dan Uniswap Permit2. Serangan phishing jelas masih menjadi kerentanan yang signifikan dalam keamanan on-chain.

Beberapa hari yang lalu, seorang teman mengalami masalah. Dua bulan yang lalu, pada tanggal 14 Juni, mereka melakukan tiga transfer dari Coinbase Wallet ke Binance (transfer rantai Ethereum). Transfer pertama berhasil, tetapi dua transfer lainnya tidak pernah tiba, dan sekarang sudah dua bulan. Apa yang bisa menjadi penyebabnya?

Saya memeriksa catatan transaksi di Etherscan dan menemukan hanya satu transfer, tanpa jejak dua lainnya, seperti yang ditunjukkan dalam gambar di bawah.

Lebih memperhatikan semua transaksi on-chain dari 14 Juni, saya menemukan tiga percobaan transfer, tetapi dua terakhir ditandai sebagai transaksi gagal, seperti yang ditunjukkan pada gambar di bawah ini.

Saya kemudian mengklik salah satu transaksi yang gagal (ditandai sebagai “Gagal”) untuk melihat apa yang salah. Pesan kesalahan mengatakan, “Kesalahan terjadi selama eksekusi kontrak.” Menurut dokumentasi resmi Etherscan, jenis kesalahan ini seharusnya tidak mengakibatkan kehilangan aset dari dompet. Token tidak pernah meninggalkan dompet pengirim dalam kasus seperti ini, meskipun biaya gas masih dikurangkan. Hal ini diilustrasikan dalam gambar di bawah.

Untuk mengatasi jenis masalah ini, inilah yang perlu dikonfirmasi:

-Periksa apakah dana benar-benar ditransfer atau hilang dari dompet pada hari itu (misalnya, jika transaksi gagal tidak mengembalikan dana ke dompet).

-Jika dikonfirmasi bahwa aset telah ditransfer atau hilang, Anda mungkin perlu menghubungi dukungan pelanggan dari platform terkait. Dalam kasus seperti itu, sebaiknya hubungi platform yang bertanggung jawab atas pengiriman atau inisiasi penarikan, karena platform atau alamat penerima tidak akan dapat menyelesaikan masalah tersebut.

Dengan demikian, rekomendasi saya biasanya adalah ide bagus untuk menyimpan log transaksi yang mendetail, seperti menggunakan Excel untuk melacak transaksi harian (beli/jual) dan arus kas (pendapatan/beban) Anda. Dengan cara ini, jika ada masalah, Anda dapat membandingkan log dengan catatan transaksi on-chain untuk verifikasi silang. Saya sebenarnya menyimpan log seperti itu sendiri, mencatat setiap transaksi secara detail. Saya juga menambahkan catatan tentang pengalaman atau pemikiran saya tentang transaksi tertentu.

Pada titik ini, masalahnya sepertinya sudah sebagian besar dipahami. Namun, saat meninjau riwayat transaksi on-chain, saya menemukan masalah yang bahkan lebih serius dengan dompet teman ini—sudah disasar oleh para peretas!

Apa yang terjadi? Mari kita lihat lebih dekat (seperti yang ditunjukkan pada gambar di bawah):

Mari kita pertama-tama melihat kotak merah di gambar (transaksi yang sah):

Pemilik dompet baru saja menyelesaikan swap senilai $10.000 dan mentransfer USDT ke dompet yang dimulai dengan 0x8F dan berakhir dengan f103.

Sekarang, periksa kotak hijau (transaksi phishing):

Segera setelah itu, peretas membuat beberapa transaksi palsu. Menariknya, alamat dompet peretas juga dimulai dengan 0x8F dan diakhiri dengan f103.

Mari kita bandingkan alamat dompet lebih detail:

Alamat asli pemilik dompet adalah:

0x8F773C2E1bF81cbA8ee71CBb8d33249Be6e5f103

Alamat dompet para peretas adalah:

0x8F7cCF79d497feDa14eD09F55d2c511001E5f103

0x8F776d5623F778Ea061efcA240912f9643fdf103

Perhatikan masalahnya? Empat karakter pertama dan empat karakter terakhir dari alamat-alamat ini identik, membuatnya terlihat hampir sama saat dilihat dengan cepat. Jika Anda menyalin dan menempelkan alamat langsung dari riwayat transaksi tanpa melakukan pengecekan ganda, Anda bisa dengan mudah mengirim uang langsung ke hacker.

Jadi, jelas bahwa dompet ini memang menjadi target oleh seorang peretas yang mencoba untuk memancing aset. Lebih jauh lagi, halaman hash transaksi mengkonfirmasi ini — Aksi Transaksi dicatat sebagai Pemalsuan_Penipuan, yang tidak meninggalkan keraguan bahwa ini adalah alamat peretas. Lihat gambar di bawah ini untuk referensi.

Tips Cepat: Mengapa Anda tidak dapat melihat transaksi tidak valid atau transfer nilai nol di Etherscan? Bagaimana cara mengubah peramban Ethereum ke Bahasa China yang Disederhanakan?

Secara default, Etherscan menyembunyikan transaksi yang tidak valid dan transfer nilai nol. Jika Anda ingin melihatnya, cukup buka halaman pengaturan di Etherscan dan aktifkan opsi lanjutan. Demikian pula, jika Anda lebih suka menggunakan antarmuka dalam Bahasa Mandarin Sederhana, Anda juga dapat menyesuaikannya di pengaturan. Lihat gambar di bawah ini untuk referensi. Atau, Anda dapat menggunakan penjelajah multi-rantai pihak ketiga seperti Oklink, yang juga mendukung Bahasa Mandarin Sederhana.

Keamanan dompet adalah sesuatu yang pasti memerlukan perhatian khusus, terutama untuk dompet yang menyimpan aset penting (lebih dari $1 juta). Ide bagus untuk mendistribusikan dana Anda di berbagai dompet berdasarkan tujuan masing-masing untuk meningkatkan keamanan. Berikut adalah bagaimana saya secara pribadi mengatur dompet saya ke dalam tingkatan:

Tier 1: Sebuah cold wallet yang disiapkan di ponsel Apple, secara ketat digunakan untuk penyimpanan jangka panjang. Wallet ini dijaga offline dan tidak pernah digunakan untuk transaksi atau transfer apapun. Saya berencana untuk menyimpan aset-aset ini setidaknya selama 10 tahun tanpa menyentuhnya. Jika Anda ingin menggunakan cold wallet untuk transaksi, Anda bisa mempertimbangkan untuk membeli hardware wallet yang terkenal melalui saluran yang terpercaya (seperti Trezor, Ledger, dll.).

Tingkat 2: Dompet panas untuk jumlah yang lebih besar. Saya menggunakan Trust Wallet dan tidak memberikan izin kepada aplikasi. Dompet ini hanya digunakan untuk transfer antara dompet saya sendiri dan penarikan atau transfer ke Binance.

Tier 3: Puluhan dompet kecil, beberapa untuk tujuan pengujian (seperti berinteraksi dengan proyek baru untuk mencoba fitur-fiturnya atau kadang-kadang mendapatkan airdrop), sementara yang lain digunakan untuk membeli altcoin atau meme token (meskipun saya melakukan ini lebih sedikit dalam beberapa tahun terakhir). Setiap dompet hanya memegang jumlah kecil, berkisar dari beberapa ratus hingga beberapa ribu dolar. Saya lebih santai tentang otorisasi dan tanda tangan dengan dompet ini, dan bahkan jika salah satunya diretas, itu tidak menjadi masalah besar. Mengelola semua dompet ini bisa terasa merepotkan, tetapi itu sepadan dengan keamanan yang ditambahkan.

Secara ringkas, setiap orang memiliki preferensi mereka sendiri dalam mengelola dompet mereka, tergantung pada situasi mereka. Pengguna kripto yang berpengalaman seringkali lebih suka menyimpan aset mereka secara on-chain, tetapi untuk kebanyakan pemula, sebenarnya lebih aman menyimpan aset (di bawah $100.000) di platform besar seperti Binance atau OKX.

Sekarang, mari kita bahas beberapa taktik phishing umum:

1. Izinkan serangan phishing

Untuk memulai, mari jelaskan beberapa konsep dasar: Saat Anda mentransfer token pada Ethereum, biasanya Anda berinteraksi dengan kontrak pintar token menggunakan fungsi Transfer atau fungsi Transfer Dari. Fungsi Transfer digunakan ketika pemilik secara langsung mengotorisasi transfer token ke alamat lain, sementara Transfer Dari memungkinkan pihak ketiga untuk memindahkan token dari satu alamat ke alamat lainnya.

Begini cara kerja Serangan Phishing Izin:

Pertama, penyerang memperdaya korban untuk mengklik tautan phising atau mengunjungi situs web palsu, yang meminta mereka untuk menandatangani transaksi dompet (off-chain).

Kemudian, penyerang menggunakan fungsi Izin untuk mendapatkan otorisasi.

Akhirnya, penyerang memanggil fungsi Transfer From untuk memindahkan aset korban, menyelesaikan serangan phishing.

Metode phishing ini memiliki karakteristik utama: setelah penyerang mendapatkan akses otorisasi tanda tangan Anda, mereka dapat melakukan operasi Permit dan Transfer From. Hal penting yang perlu diperhatikan adalah bahwa otorisasi tidak akan muncul dalam riwayat transaksi on-chain korban, tetapi akan terlihat dalam aktivitas alamat penyerang.

Umumnya, jenis serangan phishing tanda tangan seperti ini adalah peristiwa satu kali, artinya mereka tidak menimbulkan ancaman phishing yang berkelanjutan. Dalam istilah yang lebih sederhana: serangan phishing tanda tangan tidak dapat mencuri frasa mnemonic dompet Anda (atau kunci pribadi). Setiap upaya phishing hanya memungkinkan hacker menggunakan otorisasi sekali, dan hanya mempengaruhi token dan blockchain yang Anda otorisasi (misalnya, jika Anda mengotorisasi USDT, hacker hanya dapat mengambil USDT Anda). Dengan kata lain, satu tanda tangan phishing memberi hacker kesempatan satu kali, kecuali jika Anda melakukan kesalahan dengan menandatangani kembali di masa depan, memberi mereka kesempatan lain untuk mengeksploitasi dompet Anda.

(Kredit gambar: bocaibocai@wzxznl)

2. Serangan phishing Uniswap Permit2

Metode phishing ini mirip dengan serangan Izin yang telah disebutkan sebelumnya, keduanya melibatkan phishing tanda tangan di luar rantai. Uniswap Permit2 adalah kontrak pintar yang diperkenalkan oleh Uniswap pada tahun 2022. Menurut Uniswap, ini adalah kontrak persetujuan token yang dirancang untuk memungkinkan izin token dibagikan dan dikelola di berbagai aplikasi, menyediakan pengalaman pengguna yang lebih mulus, hemat biaya, dan aman. Banyak proyek sekarang telah mengintegrasikan Permit2.

Baru-baru ini, saya membaca beberapa artikel oleh bocaibocai (X@wzxznl) untuk lebih memahami mekanisme serangan phishing Permit2. Berikut ini adalah ringkasan singkatnya:

Ketika Anda ingin melakukan pertukaran di bursa terdesentralisasi (DEX), proses tradisional mengharuskan Anda untuk pertama-tama Menyetujui DEX untuk mengakses token Anda dan kemudian melakukan pertukaran. Ini biasanya berarti membayar biaya gas dua kali, yang dapat merepotkan bagi pengguna. Permit2 menyederhanakan proses ini dengan melewati langkah persetujuan tambahan, secara efektif mengurangi biaya interaksi dan meningkatkan pengalaman pengguna secara keseluruhan.

Secara esensial, Permit2 berfungsi sebagai perantara antara pengguna dan dApps. Begitu pengguna memberikan izin kepada Permit2, setiap dApp yang terintegrasi dengan Permit2 dapat berbagi batasan izin tersebut. Hal ini tidak hanya mengurangi biaya dan menyederhanakan proses bagi pengguna, tetapi juga membantu dApps menarik lebih banyak pengguna dan likuiditas karena pengalaman yang ditingkatkan.

Apa yang tampak seperti situasi saling menguntungkan juga bisa menjadi pedang bermata dua. Secara tradisional, baik otorisasi maupun transfer dana melibatkan tindakan on-chain oleh pengguna. Tetapi dengan Permit2, interaksi pengguna dikurangi menjadi tanda tangan off-chain, sementara perantara seperti kontrak Permit2 atau proyek yang terintegrasi dengannya menangani operasi on-chain. Perubahan ini menawarkan keuntungan dengan mengurangi gesekan on-chain bagi pengguna, tetapi juga menimbulkan risiko. Tanda tangan off-chain adalah tempat di mana pengguna sering menurunkan pertahanan mereka. Misalnya, saat menghubungkan dompet ke beberapa dApps, pengguna diminta untuk menandatangani sesuatu, tetapi sebagian besar tidak memeriksa atau memahami konten tanda tangan dengan cermat (yang sering terlihat seperti kode yang berantakan). Kurangnya pengawasan ini bisa berbahaya.

Kekhawatiran lainnya adalah bahwa Permit2 secara default memberikan otorisasi akses ke seluruh saldo token Anda, tidak peduli seberapa banyak yang Anda rencanakan untuk ditukar. Sementara dompet seperti MetaMask memungkinkan Anda untuk mengatur batas kustom, sebagian besar pengguna kemungkinan besar hanya akan mengklik "maks" atau menggunakan pengaturan default. Default untuk Permit2 adalah otorisasi tanpa batas, yang sangat berisiko. Lihat gambar di bawah untuk referensi.

Ini pada dasarnya berarti bahwa jika Anda telah berinteraksi dengan Uniswap dan memberikan izin kepada kontrak Permit2, Anda rentan terhadap penipuan phishing ini.

Misalnya, katakanlah Xiao Li menggunakan Uniswap dan memberikan otorisasi jumlah USDT yang tidak terbatas ke kontrak Permit2. Kemudian, saat melakukan transaksi rutin dompet, Xiao Li tanpa sadar jatuh ke dalam perangkap phishing yang melibatkan Permit2. Begitu peretas mendapatkan tanda tangan Xiao Li, mereka dapat menggunakannya untuk melakukan dua operasi kunci pada kontrak Permit2—Permit dan Transfer Dari—untuk mencuri aset Xiao Li.

Beginilah cara kerja serangan phishing ini:

Sebelum upaya phishing, pengguna sudah menggunakan Uniswap dan memberikan izin token ke kontrak Uniswap Permit2 (dengan izin tak terbatas secara default).

Penyerang kemudian membuat tautan atau situs web phishing palsu, menipu pengguna agar menandatangani transaksi. Setelah tanda tangan ditangkap, peretas mendapatkan semua informasi yang mereka butuhkan (langkah ini mirip dengan Permit phishing).

Dengan menggunakan ini, penyerang memanggil fungsi Permit dalam kontrak Permit2, menyelesaikan otorisasi.

Akhirnya, penyerang memanggil fungsi Transfer From di dalam kontrak Permit2 untuk mentransfer aset korban, menyelesaikan serangan phishing.

Biasanya, serangan-serangan ini melibatkan beberapa alamat penerima. Beberapa digunakan hanya untuk operasi phishing (dan bahkan mungkin dibuat untuk terlihat seperti alamat korbannya dengan karakter yang serupa di awal dan akhir), sementara yang lain dimiliki oleh kelompok phishing terorganisir (misalnya, penyedia DaaS). Industri phishing yang menargetkan dompet kripto tampaknya telah berkembang menjadi pasar gelap skala penuh. Lihat gambar di bawah ini.

Bagaimana cara melindungi diri dari serangan phishing Permit dan Permit2?

Salah satu pilihan adalah menggunakan plugin keamanan browser seperti Scamsniffer (saya telah menggunakannya di Google Chrome saya) untuk memblokir tautan phishing. Selain itu, Anda dapat secara rutin memeriksa dan mencabut izin atau tanda tangan yang tidak perlu atau mencurigakan dengan menggunakan alat seperti Revoke Cash. Lihat gambar di bawah untuk contoh.

Anda juga dapat menggunakan alat manajemen otorisasi khusus dari Scamsniffer, yang dirancang khusus untuk Uniswap Permit2, untuk secara berkala meninjau otorisasi Anda. Jika ada yang terlihat tidak biasa, penting untuk segera mencabut izin tersebut. Lihat gambar di bawah ini.

Namun, aspek paling penting adalah mempertahankan kesadaran keamanan yang kuat. Hindari mengunjungi situs web atau tautan yang tidak dikenal, dan saat berinteraksi dengan dApps, selalu periksa dua kali apa yang Anda otorisasi.

(Kredit gambar: bocaibocai@wzxznl)

Tips Cepat: Bagaimana cara mengetahui apakah tanda tangan dompet adalah untuk Permit atau Permit2?

Ketika menandatangani, Anda akan melihat beberapa detail di jendela konfirmasi otorisasi. Anda dapat mengidentifikasi jenis tanda tangan dengan melihat bidang kunci seperti yang ditunjukkan dalam gambar di bawah ini:

Pemilik (alamat yang memberikan otorisasi); Penerima (alamat yang menerima otorisasi); Nilai (jumlah yang diotorisasi); Nonce (nomor acak unik); Batas waktu (tanggal kedaluwarsa).

3. Serangan phishing klaim

Jenis phishing ini sangat umum. Misalnya, jika Anda sering menjelajahi X (dulu Twitter), Anda mungkin akan menemui pesan yang menawarkan 'airdrop gratis.' Terkadang, Anda bahkan mungkin menemukan NFT acak yang misterius jatuh ke dompet Anda (yang mungkin mencakup tautan situs web).

Jika Anda mengklik situs web phishing dan melanjutkan dengan Klaimtindakan, aset di dompet Anda bisa langsung dicuri oleh peretas.

Bagaimana cara Anda melindungi diri?

Pertama, jangan tergiur dengan penawaran “terlalu bagus untuk menjadi kenyataan” (hindari mengklik tautan yang mencurigakan atau menerima NFT gratis dan airdrop dari sumber yang tidak dikenal). Kedua, selalu periksa ulang situs web yang Anda gunakan untuk memastikan bahwa itu adalah situs resmi yang sah sebelum melakukan klaim apapun.

4. Phishing transfer alamat serupa

Pada 3 Mei tahun ini, seekor paus crypto menjadi korban serangan phishing menggunakan alamat serupa, kehilangan 1.155 WBTC (senilai sekitar $70 juta pada saat itu).

SlowMist sebelumnya menganalisis peristiwa ini secara detail, jadi saya tidak akan mengulangi rincian di sini. Jika Anda penasaran, Anda dapat melihat kembali kasusnya di sini:

https://mp.weixin.qq.com/s/mQch5pEg1fmJsMbiOClwOg

Jenis phising ini relatif sederhana:

Pertama, peretas menghasilkan sejumlah besar alamat phishing yang menipu dan sangat mirip dengan alamat yang dimaksudkan korban, seringkali cocok dengan 4 karakter pertama dan 6 karakter terakhir.

Selanjutnya, mereka mendeploy program batch untuk memonitor aktivitas on-chain korban dan kemudian meluncurkan serangan phishing dengan mengirimkan alamat serupa tepat sebelum transaksi yang dimaksud.

Akhirnya, ketika korban melakukan transfer, peretas menggunakan alamat yang mirip untuk mengirim transaksi segera setelahnya. Dengan cara ini, alamat phishing muncul dalam riwayat transaksi pengguna. Lihat gambar di bawah ini.

Karena banyak pengguna memiliki kebiasaan menyalin rincian transaksi dari riwayat dompet mereka, mereka mungkin melihat transaksi phishing yang closely follows their own dan tidak menyadari bahwa mereka telah menyalin alamat yang salah. Tanpa pemeriksaan yang cermat, mereka bisa saja dengan salah mengirimkan 1.155 WBTC ke alamat phishing.

Bagaimana Anda dapat mencegah ini?

Pertama, simpan alamat yang sering digunakan di buku alamat dompet Anda (atau masukkan ke daftar putih), sehingga nanti Anda dapat memilih alamat yang benar dari daftar. Kedua, selalu periksa ulang alamat lengkap sebelum mentransfer dana—jangan hanya mengandalkan beberapa karakter pertama atau terakhir. Ketika melakukan transfer besar, ide bagus untuk mengirim transaksi uji coba kecil terlebih dahulu untuk memastikan semuanya benar.

5. Pencurian tanda tangan yang diotorisasi

Metode Izin, Izin Uniswap2, dan Klaim yang disebutkan sebelumnya semuanya termasuk dalam payung phising otorisasi. Faktanya, ada banyak cara yang dapat dimanfaatkan oleh peretas untuk memanfaatkan otorisasi dompet, seperti dengan Menyetujui (memberikan izin kepada platform seperti Uniswap untuk menggunakan USDT Anda) dan Meningkatkan Batas Izin (menaikkan batas berapa banyak yang dapat dikeluarkan).

Proses phishing biasanya melibatkan penyerang yang menyiapkan tautan palsu atau situs web atau bahkan meretas situs proyek resmi dan menyisipkan malware, yang memperdaya pengguna untuk mengklik dan tanpa disadari memberikan otorisasi dompet.

Lima metode phishing yang dibahas hanya beberapa yang lebih umum. Peretas terus menciptakan metode serangan baru dan kreatif. Seperti pepatah yang mengatakan, "Peretas selalu akan selangkah lebih maju." Ini berarti bahwa keamanan dompet adalah tantangan yang terus berlanjut, dan pengguna perlu tetap waspada sepanjang waktu.

Disclaimer：

1. Artikel ini dicetak ulang dari [ 话李话外] dengan judul "Apakah dompet Anda aman? Bagaimana peretas memanfaatkan Izin, Izin Uniswap2, dan tanda tangan untuk phishing." Semua hak cipta milik penulis asli [话李话外]. Jika ada keberatan terhadap cetak ulang ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.

2. Penyangkalan Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini sepenuhnya merupakan pendapat penulis dan tidak merupakan nasihat investasi apa pun.

3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkanGate.io, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.