Keamanan

Peringatan Keamanan Web3 — Skenario Umum Pencurian Aset

Pemula

2025-06-03 | 5m

Ringkasan

● Situasi umum yang dapat menyebabkan hilangnya aset

● Langkah-langkah perlindungan Bitget untuk mengamankan dana pengguna

Web3 membuka pintu menuju kebebasan finansial dan inovasi yang inovatif, tetapi juga memperkenalkan risiko keamanan baru. Artikel ini menguraikan cara-cara yang paling umum bagaimana pengguna menjadi korban pencurian aset, mulai dari kebocoran kunci pribadi dan persetujuan tanda tangan yang berbahaya hingga penipuan transfer dan serangan lainnya. Di sini, kami membagikan studi kasus dunia nyata dan memberikan gambaran umum tentang langkah-langkah perlindungan Bitget, yang bertujuan untuk membekali pengguna dengan pengetahuan yang mereka butuhkan untuk melindungi aset digital mereka dengan lebih baik di ekosistem blockchain.

Kebocoran seed phrase atau kunci pribadi

Dicuri oleh dompet palsu

Para penyerang sering kali menyamar sebagai anggota tim atau admin resmi pada platform seperti Telegram atau Discord. Mereka mengirimkan email phishing atau membagikan tautan unduhan dompet palsu, yang sering kali disamarkan sebagai "pembaruan keamanan" dari nama-nama tepercaya seperti MetaMask atau Trust Wallet. Beberapa bahkan menjalankan iklan di mesin pencari untuk mengarahkan pengguna ke situs phishing. Setelah korban menginstal aplikasi palsu ini dan memasukkan seed phrase atau kunci pribadi mereka, informasi tersebut segera dikirim ke server yang dikendalikan oleh penyerang.

Dicuri dari papan klip oleh malware

Aplikasi-aplikasi kejahatan ini sering kali muncul sebagai alat yang tidak berbahaya, seperti pemindai kode QR, pengelola file, game yang diretas, pelacak harga kripto, atau pemeriksa airdrop. Setelah terinstal, aplikasi akan meminta akses ke papan klip dan terus memantau isinya. Jika pengguna menyalin data sensitif seperti seed phrase atau kunci pribadi (biasanya selama pencadangan atau transfer), aplikasi ini langsung menangkap informasi tersebut dan mengirimkannya ke server penyerang.

Penipuan tanda tangan atau otorisasi

penipuan eth_sign

eth_sign adalah metode penandatanganan Ethereum dasar yang memungkinkan pengguna untuk menandatangani data arbitrer. Masalahnya adalah, pengguna hanya melihat serangkaian kode heksadesimal yang tidak terbaca, sehingga mereka sering tidak tahu apa yang sebenarnya mereka tandatangani. Penyerang mengeksploitasi hal ini dengan mengelabui pengguna untuk menandatangani persetujuan berbahaya — terkadang bahkan memberikan akses penuh ke aset mereka.

Phishing tanda tangan Permit2

Permit2, protokol persetujuan token yang dikembangkan oleh Uniswap Labs, aman secara desain tetapi telah dieksploitasi dalam serangan phishing. Penyerang mengelabui pengguna untuk menandatangani otorisasi Permit2 dengan kedok verifikasi dompet atau klaim airdrop. Setelah ditandatangani, penyerang dapat memindahkan token pengguna tanpa memerlukan izin lebih lanjut.

Penipuan otorisasi token

Beberapa situs web berbahaya meyakinkan pengguna agar memberikan otorisasi tak terbatas untuk token berharga di kontrak pintar, yang memungkinkan situs tersebut memanipulasi kepemilikan mereka. Situs-situs ini sering kali menyamar sebagai platform DeFi atau NFT yang sah, dan memerlukan otorisasi pengguna untuk berpartisipasi. Penyerang menciptakan urgensi melalui penawaran atau promosi waktu terbatas yang palsu untuk menurunkan pertahanan pengguna. Setelah diotorisasi, mereka dapat menarik token korban tanpa melakukan konfirmasi lebih lanjut.

Penipuan otorisasi NFT

Beberapa situs berbahaya meminta pengguna untuk memberikan izin setApprovalForAll pada NFT mereka. Jika disetujui, penyerang mendapatkan kendali penuh atas koleksi NFT pengguna dan dapat mentransfer aset kapan saja tanpa tindakan lebih lanjut.

Penipuan transfer

Pembajakan alamat dompet di aplikasi perpesanan

Beberapa penyerang mendistribusikan versi aplikasi perpesanan yang telah diretas seperti Telegram melalui sumber yang tidak resmi. Aplikasi yang sudah dimodifikasi ini berisi kode berbahaya yang memantau obrolan dan mengganti alamat dompet kripto yang dibagikan. Ketika pengguna menyalin alamat dompet dari sebuah obrolan untuk mengirim dana, mereka mungkin secara tidak sadar malah mengirimkan dana tersebut ke dompet penyerang. Pada tahun 2023, lebih dari 500 pengguna kehilangan sekitar $8 juta dalam bentuk kripto karena tanpa sadar mentransfer dana melalui versi Telegram yang telah diretas.

Phishing transfer kosong

Penyerang mengeksploitasi perilaku dalam fungsi transferFrom USDT yang memungkinkan transfer bernilai nol tanpa memerlukan persetujuan pengirim. Hal ini memungkinkan mereka untuk memulai operasi TransferFrom pada akun pengguna aktif dan membanjiri riwayat transaksi mereka. Karena beberapa pengguna sering menyalin alamat dompet dari riwayat transaksi mereka sendiri, mereka mungkin secara tidak sengaja menggunakan kembali alamat penyerang dan mengirim dana ke penerima yang salah. Menurut SlowMist, lebih dari $20 juta dicuri melalui metode ini pada paruh pertama tahun 2022 saja.

Langkah-langkah keamanan Bitget

Sebagian besar aset disimpan dalam cold wallet

Di Bitget, sebagian besar aset digital disimpan dalam cold wallet multi-signature secara offline. Pendekatan yang penuh kehati-hatian ini, dengan menjaga dompet tetap terputus dari internet, secara signifikan mengurangi risiko serangan siber.

Dana perlindungan

Bitget mengelola Dana Perlindungan sebesar $700 juta. Jika akun Bitget kamu disusupi, atau asetmu dicuri atau hilang (tidak termasuk kerugian karena tindakan atau transaksi pribadi), kamu dapat mengajukan klaim melalui Dana Dana Perlindungan Bitget.

Saluran verifikasi resmi

Untuk membantu pengguna menghindari phishing dan penipuan, Bitget menawarkan saluran verifikasi resmi. Kamu dapat menggunakannya untuk mengonfirmasi apakah suatu email, halaman web, atau akun media sosial benar-benar berasal dari Bitget.

Edukasi keamanan

Bitget secara teratur membagikan konten edukasi untuk meningkatkan kesadaran serta membantu pengguna memperkuat pengetahuan dan praktik keamanan mereka.

Praktik-praktik terbaik untuk pengguna

Melindungi seed phrase dan kunci pribadi kamu

● Jangan pernah mengunggah seed phrase atau kunci pribadi kamu ke penyimpanan cloud tanpa enkripsi.

● Hindari menyalin seed phrase atau kunci pribadi kamu secara penuh ke papan klip, karena malware dapat menangkapnya.

● Hanya unduh aplikasi dompet dari sumber resmi, dan selalu verifikasilan penerbit dan tanda tangan perangkat lunak.

Manajemen tanda tangan dan otorisasi

● Jangan pernah menandatangani apa pun yang tidak kamu pahami sepenuhnya dan selalu tinjau isinya dengan saksama sebelum menandatangani.

● Tetapkan batas otorisasi minimum yang diperlukan untuk proyek-proyek yang tidak dikenal, alih-alih memberikan akses tanpa batas.

● Gunakan alat bantu manajemen otorisasi (misalnya, Revoke.cash) untuk memeriksa dan mencabut otorisasi yang tidak perlu secara rutin.

Praktik transfer yang aman

● Sebelum melakukan transfer dalam jumlah besar atau transfer yang penting, selalu lakukan uji coba dengan jumlah kecil.

● Simpan alamat dompet yang sering digunakan dalam buku alamat.

Kesimpulan akhir

Melindungi aset digital membutuhkan upaya bersama. Meskipun exchange seperti Bitget membangun kerangka kerja keamanan yang komprehensif, pengguna juga harus tetap waspada dan terinformasi. Keuangan tradisional membutuhkan waktu berabad-abad untuk mengembangkan praktik-praktik yang aman. Demikian pula, Web3 masih terus berkembang. Setiap insiden keamanan memberikan pelajaran yang berharga. Bitget tetap berkomitmen untuk berinvestasi dalam keamanan platform dan memperluas konten edukasi demi membantu pengguna memperkuat pertahanan mereka. Kami percaya bahwa platform dan pengguna harus bekerja bersama-sama untuk menciptakan ekosistem Web3 yang benar-benar aman dan dapat dipercaya, di mana inovasi blockchain dapat berkembang sekaligus meminimalkan risiko.