Hash artikel ini (SHA1):418ea6548326a5f3b9496aa7912935fec8ca925c
Nomor: Teknologi Chainyuan PandaLYSecurity Knowledge No.031
Apa itu serangan phishing blockchain?
Anda mungkin akrab dengan kata "phishing". Kata ini awalnya mengacu pada metode penipuan online yang mendorong orang untuk mengklik link dan kemudian mendapatkan informasi pribadi melalui situs web atau email palsu. Kini, dengan popularitas blockchain dan cryptocurrency, “phishing” semacam ini juga telah berkembang menjadi dunia blockchain.
Inti dari serangan phishing blockchain mirip dengan phishing tradisional. Penyerang berpura-pura menjadi seseorang yang Anda percayai, seperti situs dompet, platform perdagangan, atau bahkan pihak proyek yang Anda ikuti. Mereka akan menggunakan tautan palsu, akun media sosial palsu, atau kontrak pintar yang terlihat formal namun sebenarnya merupakan celah untuk memikat Anda agar memasukkan kunci pribadi, frasa mnemonik, atau menandatangani transaksi berbahaya. Hasilnya? Aset kripto Anda telah ditransfer tanpa Anda sadari.
Misalnya, bayangkan Anda melihat acara “airdrop resmi” di platform sosial dengan tautan yang terlihat seperti situs web dompet yang Anda kenal. Anda mengklik dan memasukkan frase mnemonik, dan kemudian menemukan bahwa semua uang di dalamnya hilang. Ini adalah skenario serangan phishing blockchain yang khas.
Serangan phishing sangat licik karena secara khusus menargetkan pengguna yang tidak terlalu paham dengan teknologi blockchain dan tidak cukup tahu tentang langkah-langkah perlindungan. Banyak orang jatuh ke dalam perangkap penyerang karena kelalaian atau mencari keuntungan kecil. Oleh karena itu, kita harus tetap waspada terhadap metode serangan ini dan selalu mengambil tindakan pencegahan.
Lalu bagaimana cara mengidentifikasi serangan phishing? Ini harus dimulai dengan prinsipnya.
Cara kerja serangan phishing
Ada empat metode utama serangan phishing, yaitu airdrop palsu, tanda tangan terinduksi, alat pintu belakang, dan frasa mnemonik.
Tetesan udara palsu:
Penyerang menggunakan generator alamat untuk menghasilkan alamat yang sangat mirip dengan alamat dompet pengguna (biasanya beberapa digit pertama atau terakhir sama), dan kemudian mentransfer sejumlah kecil dana (seperti 0,001 USDT) ke alamat ini beberapa kali, atau menyerang The USDT palsu yang disebarkan oleh pengguna sendiri. Hal ini menyebabkan pengguna secara keliru percaya bahwa alamat ini adalah alamat penerima normal mereka sebelumnya. Saat pengguna melakukan transfer baru, catatan transaksi historis dapat disalin dan dana mungkin salah ditransfer ke alamat penyerang, sehingga mengakibatkan hilangnya aset.
Tanda tangan yang diinduksi:
Penyerang membuat halaman web palsu, seperti situs web palsu dari proyek terkenal, tautan airdrop palsu, atau platform belanja, untuk membujuk pengguna agar terhubung ke dompet dan melakukan operasi penandatanganan, sehingga mencuri aset.
Serangan tanda tangan yang umum terjadi meliputi hal berikut:
pemindahan langsung
Penyerang menyamarkan operasi tanda tangan sebagai fungsi seperti menerima airdrop dan koneksi dompet. Operasi sebenarnya adalah mentransfer aset pengguna ke alamat penyerang.
Otorisasi transfer token
Pengguna menandatangani transaksi di situs web phishing, seperti panggilan persetujuan ERC20 atau setApproveForAll NFT, dan penyerang dapat mentransfer aset pengguna sesuka hati setelah diotorisasi.
Phishing otorisasi alamat kosong
Phishing otorisasi alamat kosong adalah versi phishing otorisasi yang ditingkatkan. Ketika pengguna mengklik tautan phishing untuk otorisasi (biasanya menyetujui atau menambah Tunjangan), alamat pembelanja adalah alamat kosong tanpa catatan on-chain. Jika korban menandatangani otorisasi, alamat kosong tersebut akan disebarkan dalam kontrak melalui pembuatan2 metode, dan Dana korban ditransfer. Menggunakan alamat kosong untuk otorisasi dapat menghindari alamat otorisasi ditandai oleh alat deteksi, sehingga melewati pemeriksaan keamanan beberapa dompet.
Beli memancing NFT seharga nol yuan
Menipu pengguna untuk menandatangani pesanan penjualan NFT. NFT dipegang oleh pengguna. Setelah pengguna menandatangani pesanan ini, penyerang dapat membeli NFT pengguna secara langsung melalui OpenSea, tetapi harga pembelian ditentukan oleh penyerang, yang berarti bahwa harga pembelian akan ditentukan oleh penyerang. penyerang tidak bisa NFT Pengguna dapat "dibeli" dengan menghabiskan sejumlah uang.
eth_sign cek kosong (tanda tangan buta)
eth_sign juga disebut tanda tangan buta. Menggunakan eth_sign untuk menandatangani nilai hash apa pun sama dengan menulis cek kosong kepada penyerang, sehingga penyerang dapat membuat transaksi khusus apa pun untuk mencuri aset pengguna.
Izin memancing
Izin adalah fungsi tambahan dari protokol erc20. Ini memungkinkan pengguna untuk menyelesaikan operasi otorisasi melalui pesan yang ditandatangani dan mengirim hasil tanda tangan ke dompet lain, yang dapat menyelesaikan operasi transfer aset. Dengan mendorong pengguna untuk menandatangani otorisasi izin ERC20, penyerang bisa mendapatkan izin untuk mentransfer token pengguna.
tanda tangan_pribadi
personal_sign biasanya digunakan untuk menandatangani konten yang dapat dibaca manusia, namun konten yang ditandatangani juga dapat diproses menjadi nilai hash.
Misalnya: pesan 0x62dc3e93b0f40fd8ee6bf3b9b1f15264040c3b1782a24a345b7cb93c9dafb7d8 adalah hasil dari teks biasa target yang di-hash oleh keccak256. Pengguna yang terkena phishing tidak dapat memahami isi tanda tangan tersebut. Jika mereka menandatanganinya, mereka akan diserang oleh serangan phishing.
Multi-tanda tangan berbahaya:
Tujuan awal dari multi-tanda tangan adalah untuk membuat dompet lebih aman dan memungkinkan banyak pengguna untuk bersama-sama mengelola dan mengontrol hak penggunaan dompet yang sama.
Mengambil TRON sebagai contoh, multi-tanda tangan TRON dibagi menjadi Pemilik (otoritas tertinggi, yang dapat mengelola izin dan melakukan semua operasi), Saksi (berpartisipasi dalam manajemen pemungutan suara) dan Aktif (digunakan untuk operasi sehari-hari, seperti mentransfer uang atau menelepon kontrak). Saat membuat akun baru, akun Alamat tersebut memiliki izin Pemilik secara default.
Setelah penyerang mendapatkan kunci pribadi pengguna melalui halaman web/aplikasi phishing, penyerang dapat mentransfer atau mengotorisasi Pemilik/Aktif ke alamatnya sendiri. Perhatikan bahwa transfer menghilangkan izin Pemilik pengguna, sedangkan otorisasi tidak menghapus izin pengguna apapun yang terjadi, pengguna kehilangan hak untuk mentransfer aset dompet.
Karena pengguna masih dapat mentransfer dana, penyerang mungkin "memainkan permainan yang panjang" dan tidak segera mentransfer aset korban hingga korban mengetahui bahwa dompet tersebut telah ditandatangani secara multi-tanda tangan dan tidak lagi mentransfer dana.
Alat pintu belakang:
Menyamar sebagai alat ilmuwan
"Alat ilmuwan" biasanya mengacu pada alat bantu transaksi yang digunakan oleh beberapa pengguna tingkat lanjut (disebut "ilmuwan") di ekosistem blockchain, seperti untuk mencetak NFT dengan cepat dalam batch, mengirim token dalam batch, atau dengan cepat menjalankan beberapa tugas kompleks -operasi rantai, dll. Alat seperti ini populer di kalangan pengguna pasar primer karena dapat meningkatkan efisiensi operasional secara signifikan.
Namun, penyerang akan berpura-pura menjadi pengembang alat tersebut dan merilis alat yang tampaknya sah, namun sebenarnya memiliki pintu belakang yang tertanam di dalam alat tersebut. Program pintu belakang ini mungkin secara diam-diam memperoleh kunci pribadi atau frasa mnemonik saat pengguna menggunakan alat, atau secara langsung mengontrol dompet pengguna untuk mengirim token ke dompet yang ditunjuk penyerang. Penyerang kemudian dapat mengontrol dompet pengguna melalui informasi sensitif ini.
plugin browser palsu
Banyak pengguna suka menggunakan plug-in browser (seperti MetaMask, Token Pocket) untuk melakukan transaksi blockchain dengan nyaman. Penyerang dapat membujuk pengguna untuk memasang plugin palsu melalui situs web phishing. Setelah plugin ini dipasang, mereka akan secara diam-diam mencatat perilaku transaksi pengguna, mencuri kunci pribadi, dan melakukan multi-tanda tangan.
Akselerator perdagangan atau alat pengoptimalan
Alat seperti itu biasanya mengklaim dapat membantu pengguna mempercepat konfirmasi transaksi atau mengoptimalkan operasi on-chain, dan pengguna sering kali perlu memasukkan kunci pribadi atau tanda tangan untuk menggunakan fungsi ini. Penyerang membujuk pengguna untuk memasukkan informasi penting selama penggunaan dan merekamnya secara diam-diam.
Berikan kunci pribadi/frasa mnemonik:
Penyerang akan membuat beberapa situs transaksi palsu atau applet Telegram (seperti Pepebot palsu), mengharuskan pengguna memberikan kunci pribadi atau kata-kata mnemonik untuk mengikat dompet, dan mengelabui pengguna agar melakukan transaksi "anjing lokal" atau operasi lainnya. Faktanya, penyerang menggunakan cara ini untuk mencuri kunci pribadi pengguna dan kemudian mentransfer semua aset di dompet.
Analisis kasus yang khas
Penipuan airdrop palsu:
Ketika proyek Wormhole merilis pengumuman airdrop, banyak Twitter yang meniru akun resminya dan memposting tautan airdrop palsu. Nama pihak proyek pada Gambar 1 adalah @studioFMmilano·1h, pihak proyek palsu pada Gambar 2 adalah @studioFMmilano, dan pihak proyek sebenarnya adalah @wormhole.
Mendorong tanda tangan dompet:
Tanda tangan situs web palsu:
Ambil contoh situs web moonbirds-exclusive.com/phishing. Situs web ini adalah situs web palsu yang meniru www.proof.xyz/moonbirds. Saat pengguna terhubung ke dompet dan mengklik Klaim, kotak aplikasi tanda tangan akan muncul. Saat ini, Metamask akan menampilkan peringatan berwarna merah, tetapi karena konten tanda tangan tidak ditampilkan dengan jelas di jendela pop-up, sulit bagi pengguna untuk menilai apakah ini jebakan. Setelah pengguna menandatangani, penipu dapat menggunakan kunci pribadi pengguna untuk menandatangani transaksi apa pun, termasuk mentransfer aset.
tanda tangan izin:
Seorang pengguna menandatangani Izin di situs web phishing selama periode janji. Pengguna segera memeriksa dan tidak menemukan otorisasi yang tidak normal. Namun, Phish kemudian menambahkan tanda tangan otorisasi offline izin ini ke rantai, membuka paparan risiko otorisasi untuk aset target di alamat target, namun pengguna target tidak memiliki cara untuk mengetahuinya sampai pengguna target mengusulkan aset ETH relevan yang dijaminkan kembali. , dan Phish segera mentransfernya, sehingga pengguna kehilangan 2,12 juta dolar AS.
Gambar 3. Akun diotorisasi untuk tanda tangan otorisasi offline
Multi-tanda tangan berbahaya:
Ada banyak metode phishing untuk multi-tanda tangan yang berbahaya, yang paling umum adalah "penyerang dengan sengaja membocorkan kunci pribadi" atau "plug-in/dompet palsu"
Penyerang dengan sengaja membocorkan kunci privat:
Penyerang membocorkan kunci pribadi di media sosial atau melalui saluran lain, dan menggunakan berbagai taktik untuk mengelabui korban agar mentransfer aset terenkripsi ke dompet mereka. Setelah korban mengetahui bahwa aset tersebut tidak dapat ditransfer keluar, penyerang kemudian mentransfer aset dompet tersebut.
Dompet TokenPocket palsu:
Korban mencari "TP wallet" di mesin pencari dan tidak mendownload "TP wallet" dari situs resminya. Dompet sebenarnya yang diunduh bukanlah dompet resmi, melainkan dompet palsu yang diposting oleh penyerang di Internet. Setelah pengguna mengikat frasa mnemonik, dompet korban secara otomatis akan memiliki banyak tanda tangan, sehingga tidak mungkin untuk mentransfer aset.
Alat pintu belakang:
Korban menemukan seorang blogger di Twitter yang mengaku ahli dalam "belaian rambut" WEB-3 dan berbagai pengembangan skrip. Korban mengunduh dan menjalankan skrip yang diberikan blogger tersebut secara gratis dirampok dan dia kehilangan uangnya. Token senilai 700USDT.
Cara Mencegah Serangan Phishing Blockchain
Verifikasi tautan dan URL
Saat mengunjungi situs web apa pun yang terkait dengan mata uang kripto, selalu verifikasi keaslian tautan dan URL. Penyerang phishing sering kali membuat situs palsu yang sangat mirip dengan situs resmi, hanya mengubah beberapa karakter. Jika Anda tidak berhati-hati, Anda mungkin tertipu. Oleh karena itu, langkah pencegahan pertama yang harus dilakukan adalah:
1. Hindari mengeklik tautan yang tidak dikenal: Anda harus ekstra hati-hati dengan email, pesan media sosial, atau tautan asing yang tidak dikenal, atau tautan dari sumber tidak dikenal yang Anda terima, terutama yang mengaku berasal dari saluran “resmi”, seperti informasi promosi, aktivitas airdrop , atau petunjuk masalah akun.
2. Gunakan bookmark untuk menyimpan situs web resmi yang biasa digunakan: Saat mengunjungi bursa mata uang kripto atau layanan dompet, disarankan untuk langsung menggunakan bookmark yang disimpan di browser daripada menanyakan melalui mesin pencari untuk mencegah memasuki situs web phishing secara tidak sengaja.
Otentikasi multi-faktor (2FA)
Otentikasi multi-faktor (2FA) adalah salah satu langkah penting untuk meningkatkan keamanan akun. Saat masuk ke akun, selain kata sandi, diperlukan langkah verifikasi tambahan, biasanya melalui pesan teks ponsel atau kode verifikasi dinamis yang dihasilkan oleh aplikasi autentikator untuk mengonfirmasi identitas.
1. Aktifkan 2FA: Pastikan untuk mengaktifkan fitur ini untuk semua akun mata uang kripto yang mendukung 2FA, termasuk akun bursa, aplikasi dompet, dll. Meskipun penyerang mendapatkan kata sandi Anda, mereka tetap tidak dapat masuk ke akun Anda tanpa kode verifikasi 2FA.
2. Gunakan aplikasi pengautentikasi: Coba gunakan aplikasi pengautentikasi seperti Google Authenticator dan Authy daripada verifikasi SMS, karena pesan SMS mungkin mengalami serangan pembajakan kartu SIM.
3. Perbarui perangkat 2FA secara rutin: Pastikan ponsel atau perangkat verifikasi yang Anda ikat adalah yang terbaru. Jika ponsel Anda hilang atau diganti, segera perbarui perangkat 2FA Anda untuk menghindari risiko keamanan.
Pelatihan kesadaran keamanan
Metode serangan phishing blockchain terus berkembang, sehingga perlu terus dipelajari dan menjaga kesadaran keamanan.
1. Ikuti komunitas keamanan dan berita: Ikuti secara teratur berita, blog, dan forum komunitas terkait keamanan blockchain dan mata uang kripto untuk mendapatkan informasi dan peringatan keamanan terbaru agar tidak terjerumus ke dalam perangkap phishing baru.
2. Waspada: Kembangkan kebiasaan memeriksa konten operasi dengan cermat sebelum melakukan operasi sensitif (seperti tanda tangan resmi, transfer transaksi), dan jangan menghubungkan dompet atau melakukan operasi tanda tangan di situs web atau platform asing sesuka hati.
Manajemen keamanan dompet
Dompet adalah alat penyimpanan inti mata uang kripto. Manajemen keamanan dompet yang tepat memainkan peran penting dalam mencegah serangan phishing.
1. Jangan membocorkan frase mnemonik atau kunci pribadi: Frase mnemonik dan kunci pribadi adalah kunci untuk mengendalikan dompet. Setelah dibocorkan, penyerang dapat langsung mendapatkan aset di dompet. Oleh karena itu, frase mnemonik dan kunci pribadi harus disimpan dengan aman, tidak pernah diungkapkan kepada siapa pun, dan tidak pernah disimpan di perangkat yang terhubung ke internet.
2. Gunakan dompet dingin untuk menyimpan aset dalam jumlah besar: Dompet dingin mengacu pada dompet yang tidak terhubung ke Internet, biasanya dompet perangkat keras, dan memiliki keamanan yang lebih tinggi. Untuk aset besar yang disimpan dalam jangka waktu lama, disarankan untuk menyimpannya di dompet dingin untuk mencegah serangan online.
3. Gunakan dompet panas secara rasional: Dompet panas adalah dompet yang terhubung ke Internet, nyaman untuk transaksi sehari-hari, tetapi memiliki keamanan yang relatif rendah. Disarankan untuk memasukkan sejumlah kecil dana transaksi harian ke dalam dompet panas dan mencoba menyimpan sebagian besar dana di dompet dingin untuk menyebarkan risiko.
4. Cadangkan data dompet secara teratur: Pastikan ada cadangan kata mnemonik dompet, kunci pribadi atau kata sandi pemulihan, dan informasi lainnya yang dapat diandalkan. Disarankan untuk menyimpan informasi cadangan di tempat yang aman dan offline, seperti perangkat USB terenkripsi atau kertas fisik.
Kesimpulan
Di dunia blockchain, setiap operasi pengguna dapat berdampak langsung pada keamanan aset. Dengan berkembangnya teknologi, metode serangan phishing juga terus ditingkatkan. Oleh karena itu, kita harus selalu waspada, meningkatkan kesadaran perlindungan diri, dan menghindari penipuan. Baik itu memverifikasi tautan, menggunakan perangkat keamanan, mengaktifkan autentikasi multifaktor, atau mengelola dompet Anda dengan benar, langkah-langkah kecil ini dapat membangun garis pertahanan yang kokoh untuk aset kami.
Berhati-hatilah dan jangan bertindak terlalu tergesa-gesa!
Chainyuan Technology adalah perusahaan yang berfokus pada keamanan blockchain. Pekerjaan inti kami mencakup penelitian keamanan blockchain, analisis data on-chain, serta penyelamatan kerentanan aset dan kontrak, dan kami telah berhasil memulihkan banyak aset digital yang dicuri untuk individu dan institusi. Pada saat yang sama, kami berkomitmen untuk menyediakan laporan analisis keselamatan proyek, keterlacakan on-chain, dan layanan konsultasi/dukungan teknis kepada organisasi industri.
Terima kasih telah membaca, kami akan terus fokus dan berbagi konten keamanan blockchain.