Keamanan Web3: Bahaya Persetujuan Tak Terbatas pada Rantai Mesin Virtual Ethereum

Poin-poin Utama

• Di dunia Web3, pemberian persetujuan tanpa batas menciptakan kerentanan yang dapat dieksploitasi oleh peretas melalui kelemahan kontrak pintar atau rekayasa sosial.

• Tinjau dan cabut persetujuan yang tidak diperlukan secara berkala untuk mencegah akses tidak sah ke aset Anda.

• Lindungi dana Anda dengan alat seperti Binance Web3 Wallet dan selalu dapatkan informasi terkini tentang risiko keamanan Web3.

Dalam dunia keuangan yang terdesentralisasi, apa akibatnya jika satu persetujuan diabaikan? Meskipun kontrak pintar dapat menyederhanakan transaksi, interaksi ini juga menimbulkan risiko keamanan yang unik, khususnya saat pengguna memberikan izin tak terbatas kepada pihak ketiga untuk mengakses dan mengelola dana mereka. Dalam blog kami sebelumnya, kami membahas risiko persetujuan untuk kontrak pintar dan akun milik eksternal (EOA). Dalam artikel ini, kami akan membahas lebih dalam risiko persetujuan tambahan khususnya pada rantai Ethereum Virtual Machine (EVM) dan bagaimana Anda dapat melindungi aset Anda dari ancaman ini.

Memahami Risiko Persetujuan pada EVM

Banyak pengguna berasumsi bahwa berinteraksi dengan proyek yang terkenal atau teraudit menjamin bahwa dana mereka sepenuhnya aman. Namun, bahkan proyek yang dirancang dengan sangat cermat, terutama di ruang terdesentralisasi, tidak kebal terhadap peretasan. Persetujuan tanpa batas meningkatkan risiko dengan memberikan kontrak pintar kendali tanpa batas atas aset dompet Anda ketika aplikasi atau platform yang Anda percayai sebelumnya disusupi.

Hal ini menjadi lebih berbahaya karena pengguna sering menyetujui kontrak pintar demi kenyamanan dan kemudian melupakannya. Seiring berjalannya waktu, persetujuan yang terlupakan ini berubah menjadi kerentanan tersembunyi yang siap dieksploitasi. Jika keamanan proyek terganggu, peretas dapat menggunakan persetujuan tak terbatas ini untuk menguras dana Anda secara instan, tanpa memerlukan tindakan lebih lanjut dari Anda. Gagal membatasi atau mencabut persetujuan secara berkala sama saja dengan membiarkan pintu Anda tidak terkunci, yang membuat aset Anda menjadi sasaran empuk. Inilah sebabnya mengapa mengelola persetujuan Anda dengan cermat sangat penting dalam ekosistem Web3.

Anda mungkin bertanya-tanya bagaimana keamanan suatu proyek dapat dikompromikan. Ada dua metode umum yang menonjol: mengeksploitasi kerentanan dalam kode kontrak pintar dan menggunakan taktik rekayasa sosial untuk memanipulasi pengembang. Kedua pendekatan tersebut dapat membuka pintu bagi penyerang untuk mendapatkan akses tidak sah ke dana pengguna.

Memanfaatkan Kerentanan Kontrak Cerdas

Kontrak pintar menjadi tulang punggung fungsionalitas blockchain, yang memungkinkan fitur-fitur seperti pembuatan token, peminjaman, staking, dan bridging. Namun, seperti halnya perangkat lunak lainnya, tidak ada kode yang sepenuhnya bebas dari kerentanan. Kelemahan ini menjadi target utama para penyerang, terutama dalam proyek-proyek populer dengan basis pengguna yang besar atau dana yang dipertaruhkan dalam jumlah besar.

Berikut ini adalah bagaimana serangan semacam itu dapat terjadi.

Menemukan Target yang Cocok: Peretas membidik proyek-proyek terkenal, menganalisis kontrak pintar mereka untuk menemukan kelemahan yang dapat dieksploitasi. Dengan sifat blockchain yang transparan, proses ini lebih banyak bergantung pada kesabaran daripada keterampilan, karena penyerang dengan cermat mencari kesalahan pengkodean atau kelalaian logika.

Pelanggaran: Setelah kerentanan teridentifikasi, penyerang memperoleh akses tidak sah ke kontrak proyek. Dari sini, tujuan mereka jelas: menyedot dana. Mereka bertujuan untuk menguras kumpulan likuiditas, cadangan pinjaman, atau secara langsung mengeksploitasi pengguna yang berinteraksi dengan kontrak yang disusupi.

Drainase: Risiko meningkat secara signifikan bagi pengguna yang telah memberikan persetujuan tak terbatas pada kontrak yang disusupi. Persetujuan ini memberikan akses tak terbatas ke token di dompet mereka. Penyerang dapat menjalankan fungsi seperti transferFrom() untuk menarik seluruh saldo token, tidak hanya sekali, tetapi berulang kali. Setiap setoran baru ke dompet yang sama juga tetap rentan selama persetujuan tak terbatas tersebut aktif.

Akibatnya, pengguna berisiko kehilangan dana mereka saat ini dan simpanan di masa mendatang hingga persetujuan dicabut. Meskipun persetujuan tanpa batas mungkin tampak praktis, persetujuan tersebut dapat dengan cepat menjadi kerentanan yang serius. Itulah mengapa penting untuk mengembangkan kebiasaan meninjau dan mencabut kontrak pintar yang tidak perlu atau jarang digunakan. Akan selalu lebih aman untuk meluangkan waktu sebentar untuk menyetujui ulang kontrak daripada mengambil risiko kehilangan dana Anda.

Rekayasa Sosial

Meskipun kontrak pintar rentan, kesalahan manusia sering kali menjadi kunci terjadinya pelanggaran. Penyerang menargetkan pengembang atau pemilik proyek, mengeksploitasi kepercayaan untuk mendapatkan akses ke sistem yang sensitif. Taktik yang umum adalah penipuan malware, di mana pelaku kejahatan menipu individu agar mengunduh program jahat. Setelah terinstal, program ini dapat mencuri kunci pribadi, mengakses dompet, atau memanipulasi kontrak, menguras dana proyek dan saldo pengguna. Oleh karena itu, rekayasa sosial merupakan ancaman serius yang dapat memengaruhi seluruh ekosistem.

Contoh Kehidupan Nyata

Kerentanan dalam Peningkatan Kontrak Cerdas: Protokol LI.FI

Kerentanan selama pemutakhiran kontrak pintar pada platform LI.FI memungkinkan penyerang untuk menjalankan panggilan acak ke kontrak apa pun tanpa validasi yang tepat. Cacat ini memungkinkan penyerang untuk mengeksploitasi dompet yang telah memberikan persetujuan token tak terbatas untuk kontrak LI.FI. Dengan memanfaatkan izin yang tidak diperiksa ini, penyerang dapat menarik dana dari dompet ini tanpa memerlukan otorisasi lebih lanjut dari pengguna. Karena kerentanan dapat muncul secara tak terduga, selalu lebih aman untuk berhati-hati dengan mencabut izin kapan pun memungkinkan.

Mengorbankan Penandatangan Multi-sig: Radiant Capital

Aktor jahat menargetkan dan membahayakan perangkat tiga penanda tangan multi-tanda tangan, memperoleh kendali atas dompet multi-tanda tangan milik Radiant Capital. Dengan menggunakan akses ini, mereka mengalihkan kepemilikan dompet kepada mereka sendiri dan mendorong pembaruan ke kontrak kumpulan pinjaman. Pembaruan ini memungkinkan mereka untuk menguras semua dana dari kumpulan pinjaman, serta dari dompet pengguna yang telah memberikan persetujuan tak terbatas. Pengguna yang belum mencabut persetujuan tak terbatas mereka tetap berisiko, terutama pada blockchain tertentu.

Kasus ini menggambarkan bahaya jika tidak mencabut persetujuan setelah terjadi pelanggaran. Seorang pengguna dompet Web3 seperti yang ditunjukkan di bawah ini telah memberikan persetujuan tak terbatas untuk kontrak Radiant Capital Lending Pool yang disusupi. Persetujuan "tak terbatas" tersebut berarti bahwa kontrak tersebut dapat menarik token dari dompet pengguna tanpa batasan.

Selama persetujuan tetap aktif, penyerang dapat berulang kali menguras BUSC-USD dari dompet pengguna. Lebih jauh lagi, setiap setoran baru ke dompet juga berisiko, karena kontrak tersebut tetap memiliki otorisasi untuk menarik dana. Skenario ini menekankan kebutuhan penting bagi pengguna untuk meninjau dan mencabut persetujuan ketika terjadi pelanggaran keamanan untuk melindungi aset mereka.

Rekayasa Sosial: Monoswap

Seorang pengembang Monoswap menjadi korban penipuan tertarget saat penyerang menyamar sebagai pemodal ventura. Untuk bergabung dalam panggilan yang konon akan membahas peluang pendanaan, pengembang tersebut ditipu agar memasang tiruan berbahaya dari messenger Kakaotalk. Tanpa sepengetahuannya, penyerang menggunakan kesempatan ini untuk memasang botnet di PC kantornya, yang memiliki akses ke dompet dan kontrak terkait Monoswap.

Dengan akses ini, pelaku kejahatan menarik sebagian besar posisi likuiditas yang dipertaruhkan, sehingga menimbulkan kerusakan signifikan pada protokol dan menyebabkan kerugian bagi penggunanya. Insiden ini menggarisbawahi pentingnya menjaga protokol keamanan yang ketat dan memverifikasi keabsahan aplikasi atau komunikasi apa pun sebelum memberikan akses ke sistem yang sensitif.

Cara Melindungi Diri Anda Sendiri

Di dunia Web3, tetap waspada adalah kunci untuk menjaga aset Anda tetap aman. Meskipun tidak ada sistem yang sepenuhnya bebas risiko, mengambil langkah proaktif dapat secara signifikan mengurangi risiko Anda terhadap potensi ancaman. Berikut cara melindungi diri Anda:

Berhati-hatilah dengan Persetujuan

Jika memungkinkan, hindari pemberian persetujuan token tanpa batas, bahkan untuk proyek yang memiliki reputasi baik. Membatasi persetujuan akan menambah lapisan keamanan ekstra, memastikan penyerang tidak dapat mengeksploitasinya jika suatu proyek disusupi.

Cabut Persetujuan yang Tidak Digunakan Secara Rutin

Biasakan untuk meninjau dan mencabut persetujuan token secara berkala untuk kontrak yang tidak lagi Anda gunakan. Praktik sederhana ini mengurangi kemungkinan aset Anda terpapar eksploitasi berbahaya atau kerentanan yang tidak terduga.

Melakukan Uji Tuntas

Sebelum menyetujui kontrak, luangkan waktu untuk memverifikasinya menggunakan alat keamanan yang bereputasi baik seperti honeypot.is. Meskipun alat ini tidak dapat menjamin keamanan mutlak, alat ini memberikan wawasan berharga tentang potensi risiko dan jauh lebih baik daripada melewatkan pemeriksaan sama sekali. Dengan mengadopsi kebiasaan ini, Anda memegang kendali atas keamanan Anda di Web3, mengubah kehati-hatian menjadi perlindungan terkuat Anda terhadap potensi ancaman.

Gunakan Dompet Binance Web3

Lindungi dompet Anda dengan alat tepercaya seperti Dompet Binance Web3, yang mengutamakan keamanan pengguna dengan fitur-fitur tangguh untuk melawan ancaman Web3 umum, termasuk penyalahgunaan persetujuan.

Ketika sebuah proyek disusupi, Binance Web3 Wallet bertindak cepat untuk melindungi penggunanya. Peringatan keamanan dan notifikasi dalam aplikasi segera dikirim, mendesak pengguna untuk mencabut persetujuan yang berisiko atau mengamankan aset mereka. Pop-up terus-menerus tetap terlihat hingga persetujuan kontrak pintar yang berisiko dicabut sepenuhnya, memastikan pengguna mengambil tindakan untuk melindungi dana mereka.

Tindakan proaktif ini membuat pengguna tetap mendapat informasi dan memungkinkan mereka merespons dengan cepat, sehingga mengurangi risiko kerugian potensial.

Tetap Terinformasi dan Terkini

Pengetahuan adalah pertahanan terbaik Anda dalam lanskap DeFi yang terus berkembang. Tetaplah mengikuti berita keamanan, perkembangan proyek, dan kerentanan yang muncul dengan Binance Academy. Untuk mempelajari lebih dalam tentang potensi ancaman, lihat seri Kenali Penipuan Anda kami. Sumber daya ini memberikan wawasan berharga untuk mengenali penipuan dan melindungi diri Anda dari risiko terbaru dalam ekosistem.

Pemikiran Akhir

Di dunia Web3, beberapa kebiasaan sederhana dapat membuat perbedaan besar dalam menjaga aset Anda tetap aman. Periksa persetujuan Anda secara berkala, gunakan alat yang andal seperti Binance Web3 Wallet, dan dapatkan informasi terkini melalui sumber daya seperti Binance Academy. Dengan langkah-langkah kecil namun penting ini, Anda dapat menjaga dana Anda tetap aman dan fokus menikmati berbagai kemungkinan yang ditawarkan oleh keuangan terdesentralisasi.

Bacaan lebih lanjut

• Keamanan Dompet Web3: Risiko Menyetujui Transaksi Kontrak Cerdas

• Keamanan Dompet Web3: Risiko Penandatanganan Pesan Blockchain

• Binance Mencegah Potensi Kerugian Pengguna Sebesar $2,4 Miliar pada Tahun 2024 Sejauh Ini