Penipu menggunakan berbagai teknik untuk mencuri uang pengguna, beberapa di antaranya hanya perlu mengetahui alamat dompet Anda, kata peneliti Forta Network.
Penipu membuat setidaknya 7,905 dompet blockchain pada bulan Mei untuk mengumpulkan kripto yang mereka curi dari pengguna biasa, menurut perusahaan keamanan blockchain Forta Network.
Forta, yang baru-baru ini meluncurkan tokennya sendiri, mengoperasikan jaringan bot yang mendeteksi berbagai jenis penipuan di blockchain Ethereum, Binance Smart Chain, Polygon, Optimism, Avalanche, Arbitrum, dan Fantom.
Christian Seifert, peneliti yang tinggal di Forta yang sebelumnya bekerja di divisi penelitian keamanan Microsoft, mengatakan kepada CoinDesk bahwa algoritme Forta dapat mendeteksi berbagai jenis perilaku anomali saat memindai transaksi di blockchain.
Beberapa anomali tersebut adalah serangan terhadap dompet pengguna.
Untuk beberapa serangan, penipu mengandalkan rekayasa sosial – mengendus informasi pribadi pengguna atau menerapkan trik untuk membuat pengguna kripto mengungkapkan kata sandi atau frase awal mereka. Serangan lain hanya memerlukan mengetahui alamat dompet korban.
Lihat juga: Menyebut Peretasan sebagai Eksploitasi Meminimalkan Kesalahan Manusia | Pendapat
“Banyak serangan yang merupakan serangan rekayasa sosial: pengguna dibujuk ke sebuah situs web, sebuah situs web meminta mereka untuk menghubungkan dompet mereka, sebuah transaksi muncul, pengguna menyetujuinya dan uang mereka hilang,” kata Seifert.
'Es phishing'
Jenis serangan yang paling umum di bulan Mei adalah apa yang disebut teknik “ice phishing”, yang mencakup 55,8% dari seluruh serangan yang didaftarkan oleh Forta. Berbeda dengan serangan phishing yang lebih jelas atau terkenal (ice phishing adalah permainan dari serangan “phishing” yang lebih umum terlihat di Web), jenis ini tidak ditujukan secara langsung pada informasi pribadi pengguna.
Sebaliknya, seorang ice phisher menipu korban untuk menandatangani transaksi blockchain berbahaya yang membuka akses ke dompet korban sehingga penyerang dapat mencuri semua uangnya. Dalam kasus seperti itu, korban sering kali terpikat ke situs web phishing yang dirancang untuk meniru layanan kripto sebenarnya.
Penipuan ini mengandalkan transaksi "persetujuan token", salah satu penggunaan paling umum untuk dompet Web3 non-penahanan yang memungkinkan pengguna memberikan kontrak pintar sejumlah akses ke dompet mereka.
Di halaman dukungannya, MetaMask, pembuat dompet kripto Ethereum paling populer mencatat bahwa ketika memberikan persetujuan token transaksi "Anda memegang kendali penuh dan memegang tanggung jawab utama atas semua yang Anda lakukan. Itulah mengapa penting bagi Anda untuk mengetahui dengan tepat apa yang Anda lakukan. mendaftar ketika Anda mengonfirmasi persetujuan token."
Dalam penipuan serupa yang disebutkan di atas, penyerang berupaya mengelabui pengguna agar berinteraksi dengan berbagai aplikasi terdesentralisasi (dapps), termasuk pertukaran terdesentralisasi (DEX). Skema seperti itu sering kali menciptakan ilusi peluang baru yang menguntungkan, seperti token baru yang dikirimkan melalui udara, dan mengeksploitasi kecenderungan umum untuk jatuh cinta pada FOMO, atau ketakutan akan ketinggalan, kata Seifert.
Namun, alih-alih berinteraksi dengan layanan yang sah, pengguna menyerahkan kendali atas asetnya kepada penyerang dengan menandatangani transaksi persetujuan token.
“Pengguna mengeklik, mengeklik, mengeklik, dan transaksi muncul, seringkali dengan pengatur waktu, dan pengguna menyetujuinya tanpa memeriksa,” kata Seifert.
Menurut Seifert, ada dua langkah penting untuk mengatasi ice phishing: “memikat korban ke situs web [berbahaya] dan menciptakan narasi positif.
“Variasi dari serangan ice phishing adalah mengelabui pengguna agar mengirimkan aset asli ke penipu secara langsung. Hal ini dicapai dengan menandatangani fungsi 'pembaruan keamanan' dari kontrak penipu,” kata Seifert, seraya menambahkan bahwa biasanya sejumlah kecil kripto dicuri dengan cara ini.
NFT, airdrop, dan mengatasi keracunan
Beberapa serangan menargetkan pedagang token non-fungible (NFT). Misalnya, penipu telah mengembangkan teknik yang memanfaatkan keunikan infrastruktur NFT, seperti protokol Seaport yang diperkenalkan oleh OpenSea dan digunakan di banyak pasar NFT. Untuk menjual NFT di Seaport, pengguna membuat pesanan jual dengan menandatangani transaksi yang disiarkan secara lokal di platform – bukan di jaringan Ethereum yang lebih luas, untuk menghemat biaya transaksi.
Penyerang mengendus-endus pengguna dengan NFT yang berharga dan mencoba mengelabui mereka agar menyetujui transaksi yang akan menjual kepemilikan berharga mereka dengan harga yang lebih murah dari pasar.
Pedagang NFT saat ini sering kali menyadari banyaknya cara yang dapat mereka eksploitasi. Beberapa perampokan kripto paling terkenal dalam beberapa tahun terakhir telah menargetkan tokoh-tokoh NFT yang berpengaruh. Hal ini menyebabkan serangan phishing yang semakin bertarget dan canggih.
Untuk serangan “keracunan alamat”, penyerang mempelajari riwayat transaksi dompet korbannya dan mencari alamat yang paling sering berinteraksi dengan mereka. Mereka kemudian membuat alamat blockchain yang terlihat familier bagi target mereka dan mengirimkan transaksi kepada korban dengan nilai yang kecil atau bahkan tidak ada sama sekali. Transaksi ini dimaksudkan untuk “meracuni” riwayat transaksi korban dengan meletakkan alamat jahat di tempat yang mungkin membuat mereka salah menyalin dan menempelkannya saat melakukan transaksi berikutnya.
Namun seringkali, eksploitasi yang paling sederhana tetap efektif. Misalnya, Seifert mengatakan penyerang sering kali menggunakan merek terkenal saat merancang eksploitasi rekayasa sosial untuk mendapatkan kepercayaan atau perhatian korban. Hal ini terjadi pada token tLINK palsu yang diterima oleh pemegang Chainlink (LINK) pada awal Juni, ketika seorang penyerang mengirimkan token baru ke pemegang LINK melalui udara.
Para penipu menyertakan tawaran bagi pengguna untuk menukar tLINK dengan token LINK sebenarnya di situs web phishing di bidang deskripsi token yang dijatuhkan melalui udara, kata Seifert. Dan jika mereka menerima tawaran itu, mereka akan terbakar habis.
Apa yang membuat serangan semacam itu lebih rumit adalah penyerang dapat mengalokasikan token palsu ERC-20 ke kontrak pintar yang sah dan kemudian menjalankan fungsi yang mentransfer token palsu tersebut kepada siapa pun yang memegang token yang ditargetkan, menurut Forta. Hal ini membuatnya tampak seperti pengguna mendapat airdrop dari kontrak yang sah, padahal itu hanyalah penipuan.
Lihat juga: Mencegah Eksploitasi & Peretasan Kripto pada tahun 2023
Serangan seperti itu bahkan tidak memerlukan banyak pekerjaan pengintaian dari penyerang: yang perlu mereka ketahui tentang korban hanyalah alamat dompet mereka.
Kebersihan transaksi
Dengan semakin rajinnya peretas dan penipu, penting untuk selalu memperhatikan alamat tempat dompet Anda berinteraksi, kata Seifert. Idealnya, dompet harus memiliki fitur keamanan bawaan, katanya, seraya menambahkan bahwa saat ini, Forta menyediakan database alamat palsu ke dompet ZenGo.
Forta memberikan skor risiko berbeda pada dompet blockchain yang mengacu pada keterlibatan mereka dalam potensi perilaku penipuan, kata Seifert.
