Meneruskan Judul Asli: Mengungkap Penipuan Honeypot

Terjun ke kode token dan menjaga keamanan Web3

Pendahuluan

Jika Anda adalah pengguna di platform terdesentralisasi, konsep "penipuan Honeypot" tidak akan asing bagi Anda. Bahkan jika Anda belum pernah mendengar istilah ini sebelumnya, Anda mungkin pernah mengalami aktivitas penipuan semacam itu.

"Honeypot" sebenarnya adalah analogi yang pada dasarnya merujuk pada penjeratan orang lain secara sengaja. Dalam kasus token Honeypot, berbagai ilusi (seperti likuiditas yang sangat tinggi dan kenaikan harga) diciptakan untuk memikat investor untuk membeli token. Namun, setelah mereka melakukan pembelian, mereka menyadari bahwa karena adanya kode berbahaya di kontrak, mereka sama sekali tidak dapat menjual token ini. Ini adalah penipuan Honeypot.

Dalam upaya untuk mengeksploitasi pengguna mereka, skema Honeypot sering kali terus memperbarui dan mengulangi kode kontrak. Mereka menggunakan logika implementasi yang semakin rumit untuk menyembunyikan motif sebenarnya mereka, dengan tujuan untuk menghindari kewaspadaan mekanisme keamanan atau meningkatkan kompleksitas analitis bagi para ahli keamanan.

Karakteristik Serangan Scam Honeypot

Data dari GoPlus mengungkapkan bahwa jumlah total token Honeypot di pasar kripto mengalami peningkatan substansial pada tahun 2022, dengan 64.661 token Honeypot baru yang diperkenalkan. Ini menandai pertumbuhan yang mengesankan sebesar 83,39% dibandingkan dengan periode yang sama pada tahun 2021. Di antara ini, 92,8% token Honeypot berasal dari Rantai BNB, sementara 6,6% berasal dari Ethereum. Kedua blockchain ini juga menonjol sebagai salah satu jaringan yang paling aktif dan padat dalam hal token.

Salah satu faktor yang berkontribusi pada kenaikan tajam token Honeypot dapat dikaitkan dengan dampak insiden FTX pada akhir tahun 2022. Sejumlah besar pengguna mentransfer aset digital mereka dari bursa terpusat ke dompet terdesentralisasi, yang mengakibatkan lonjakan pengguna aktif on-chain. Akibatnya, penyerang menjadi lebih aktif juga. Menurut data, dalam waktu hanya satu minggu setelah insiden FTX, lebih dari 120 metode serangan Honeypot baru muncul, menandai peningkatan frekuensi serangan enam kali lipat.

Selain peningkatan absolut dalam jumlahnya, karakteristik token Honeypot menjadi lebih beragam dan rumit. Dalam menganalisis data keamanan dari tahun lalu, GoPlus telah mengamati bahwa serangan token Honeypot telah berkembang menjadi semakin sulit dideteksi dan lebih tersembunyi. Secara umum, mereka menunjukkan fitur-fitur utama berikut:

1. Pemburaman Kode: Dengan mengurangi keberbacaan kode, memperkenalkan logika yang tidak relevan, atau membingungkan hubungan pemanggilan, penyerang menciptakan logika implementasi yang kompleks untuk meningkatkan kesulitan analisis bagi mesin keamanan.
2. Membuat Kontrak Terkenal: Jenis kontrak serangan ini menyamar sebagai kontrak proyek terkemuka dengan menggunakan nama kontrak palsu dan menerapkan proses, menyesatkan mesin dan dengan demikian meningkatkan kemungkinan mengidentifikasi risiko yang salah.
3. Menggunakan Mekanisme Pemicu Tersembunyi: Kontrak serangan ini menyembunyikan kondisi pemicu yang dalam, sering kali menyembunyikannya dalam perilaku transaksi pengguna. Mereka juga dapat menggunakan manipulasi kompleks dari perilaku transaksi, seperti menumpuk beberapa lapisan pemeriksaan kondisional sebelum memanggil tindakan seperti menghentikan transaksi, menggelembungkan pasokan, atau mentransfer aset. Ini memungkinkan modifikasi status kontrak secara real-time dan mempermudah pencurian aset pengguna.
4. Memalsukan Data Transaksi: Untuk membuat transaksi terlihat lebih asli, penyerang mungkin secara acak memicu tindakan seperti airdrop atau wash trading. Ini memiliki dua tujuan: untuk memikat lebih banyak pengguna dan membuat perilaku transaksi terlihat lebih alami.

Analisis Kasus

Token ini diterbitkan di ETH Mainnet, dengan alamat kontrak: 0x43571a39f5f7799607075883d9ccD10427AF69Be.

Setelah menganalisis kode kontrak, dapat diamati bahwa kontrak ini mencoba mengimplementasikan mekanisme “daftar hitam transfer” untuk alamat akun pemegang. Jika alamat transfer ada di dalam daftar hitam, transaksi transfer akan gagal. Ini adalah mekanisme token Honeypot yang khas yang pada akhirnya mencegah pemegang token untuk menjual aset mereka.

Namun, bagi sebagian besar pengguna, mereka mungkin tidak memiliki kemampuan untuk membaca dan menganalisis kode, sehingga sulit untuk mengidentifikasi risiko keamanan ini melalui audit kode. Artikel ini mencantumkan alat-alat utama yang tersedia di pasar untuk menganalisis risiko penipuan dalam kontrak pintar EVM. Jika Anda ingin mengevaluasi risiko penipuan yang terkait dengan kontrak pintar yang sudah diterapkan, Anda dapat menggunakan alat-alat berikut, dengan alamat kontrak yang disebutkan di atas sebagai ilustrasi:

Keamanan GoPlus

1. Buka situs GoPlus dan pilih jaringan blockchain, seperti Ethereum Mainnet atau jaringan Layer2 lainnya.

1. Masukkan alamat kontrak yang ingin Anda kueri, dan klik tombol “Periksa” untuk mendapatkan informasi tentang risiko kontrak. Hasil kueri menunjukkan bahwa ada peringatan risiko yang terdaftar di bawah “Risiko Honeypot,” yang menunjukkan bahwa kontrak tersebut memiliki daftar hitam transfer.

Token Sniffer

1. Buka Pendeteksi Token, masukkan alamat kontrak yang ingin Anda cari, dan pilih kontrak yang sesuai dari hasil pencarian.

1. Selanjutnya, hasil kueri risiko ditampilkan. Kita dapat melihat bahwa pada bagian 'Analisis Swap', kontrak ini tidak lulus uji ini, yang menunjukkan bahwa kontrak itu sendiri membawa risiko Honeypot.

Dengan menggunakan alat analisis yang disebutkan di atas, pengguna dapat dengan cepat mengidentifikasi risiko penipuan dalam kontrak pintar dan menganalisis bahayanya. Setelah risiko Honeypot terdeteksi, sangat disarankan untuk menahan diri dari berpartisipasi agar tidak menjadi mangsa kontrak semacam ini.

Kesimpulan

Saat para peretas terus mengembangkan strategi serangan mereka, pertahanan keamanan menjadi tugas yang semakin menantang. Sebagai pengguna blockchain, saat menghadapi penipuan Honeypot, kita perlu memperhatikan poin-poin berikut:

• Sangat penting untuk sepenuhnya memahami sifat sebenarnya dari token, termasuk likuiditas mereka, tren harga, dan lainnya sebelum membeli token.
• Cermati dengan seksama kode kontrak token untuk memeriksa kode berbahaya atau anomali apa pun. Jika Anda tidak memiliki keterampilan pemrograman, Anda dapat menggunakan alat atau mengunjungi situs web pasar terpercaya untuk menilai risiko yang terkait dengan kontrak token.
• Jangan dengan mudah mempercayai yang disebut airdrops atau skema “pump and dump”, karena ini seringkali bagian dari penipuan.
• Hindari membeli token di bursa atau dompet yang tidak dikenal; pilihlah bursa atau dompet yang terpercaya.

Belajar tentang keamanan kripto harus tetap menjadi proses yang berkelanjutan. Hanya dengan begitu seseorang dapat secara efektif mengatasi tantangan yang ditimbulkan oleh risiko keamanan yang muncul dan berkembang.

Penyangkalan:

1. Artikel ini dicetak ulang dari [ Medium]. Semua hak cipta dimiliki oleh penulis asli [Keamanan GoPlus]. Jika ada keberatan terhadap pencetakan ulang ini, silakan hubungi Pintu Belajartim, dan mereka akan menanganinya dengan cepat.
2. Penafian Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata milik penulis dan tidak merupakan nasihat investasi.
3. Tim Belajar gate menerjemahkan artikel tersebut ke bahasa lain. Menyalin, mendistribusikan, atau melakukan plagiarisme terhadap artikel yang diterjemahkan dilarang kecuali disebutkan.