Memahami Token Spoof dan Bagaimana Menghindari Dibujuk

Waktu Baca: 5 menit

Keselamatan dan keamanan aset sangat memengaruhi jumlah uang yang dihasilkan pengguna dari investasi mereka. Jadi inilah blog keamanan untuk tetap waspada dan terinformasi di Web3.

Cryptocurrency dikenal karena volatilitasnya. Itu memberi tahu seberapa besar pengaruh harga aset dalam pengambilan keputusan investasi. Ada tangkapan bagi peretas untuk bermain dengan harga dan mengelabui pengguna untuk keuntungan mereka. 

Siapa pun yang merupakan investor kripto yang tangguh akan menghadapi situasi di mana harga token kripto dimanipulasi untuk menciptakan ilusi pesimisme atau optimisme. Ini akan mendorong pengguna untuk membelinya dan kemudian menemukan bahwa mereka telah tertipu. 

Jadi, apa itu spoofing? Bagaimana cara mengidentifikasi mereka dan tetap berhati-hati agar uang Anda tidak hilang begitu saja? Semuanya akan kami rangkum dalam blog ini. 

'Spoofing' – Singkatnya

Token yang ditunggu-tunggu secara luas dengan begitu banyak hype sehingga pengguna menunggu untuk membeli akhirnya diluncurkan, dengan simbol dan logo resmi yang sama. Dan dengan sangat bersemangat, pengguna ingin membelinya.

Tetapi bagaimana pengguna yakin akan keaslian token dan melanjutkan untuk melakukan pembelian massal? 

Pengguna menemukan di penjelajah blok bahwa alamat yang terkait dengan transfer token adalah pemberi pengaruh/kepribadian terkenal. 

Di sinilah peretas memanipulasi alamat Dari token, membuatnya terlihat seperti ditautkan ke alamat influencer terkenal. Melihat ini, para pengguna dengan senang hati terlibat dalam memperdagangkan token tersebut dengan mempercayai bahwa mereka adalah yang asli. 

Di Balik Layar – Bagaimana Peretas Melakukan Ini?

Transfer data dalam smart contract dapat dengan mudah dimodifikasi. Oleh karena itu, dengan memanfaatkan ini, penyerang akan mengubah alamat Dari ke alamat lain, meskipun dialah yang memulai transaksi.

Mari kita lihat transfer token di Etherscan untuk kejelasan transfer token spoof yang lebih baik. 

Di sini Anda dapat melihat alamat Vitalik 0xab5801a7d398351b8be11c439e05c5b3259aec9b telah menerima token zkSync. 

Token dapat ditransfer dari siapa pun ke alamat Vitalik, yang bukan masalah besar. 

Namun, dalam hal ini, Anda dapat melihat bahwa Vitalik mengirimkan tokennya. Jadi, ini akan memikat pengguna untuk berpikir bahwa token yang dikirim oleh Vitalik ini akan menjadi jackpot nyata. 

Tapi itu tidak benar! Mari cari tahu apa yang ada di depan!

Vitalik tidak melakukan transfer, tetapi pemilik kontrak yang memulai transaksi membuatnya seolah-olah dikirim oleh Vitalik. Di sinilah block explorer dipalsukan untuk menampilkan transaksi yang dimanipulasi, karena block explorer hanya dapat membaca event. 

Ini dapat ditemukan dengan melihat detail transaksi, yang dengan jelas menunjukkan alamat inisiator (0x46e7cefdfa7513d19261d1afa7ec04c13e7acefc) dilanjutkan dengan manipulasi transaksi yang dilakukan oleh Vitalik.  

Jika dilihat lebih dekat, Anda dapat menemukan bahwa data masukan diisi dengan alamat Vitalik. Ini juga bisa menjadi kode keras dalam kontrak.

Selanjutnya, pada dekompilasi, kita dapat menemukan fungsi transfer non-standar yang menerima input Dari alamat dan memulai acara transfer. Dan disinilah si pemilik kontrak sudah memasukkan alamat Vitalik agar seolah-olah sedang melakukan transfer.

Kesalahan dalam Transfer Token

Beginilah cara pengguna salah mengira alamat Dari sebagai alamat pemrakarsa transaksi. Trik spoofing berfungsi untuk meluncurkan serangan yang berhasil pada pengguna dengan memanfaatkan standar desain token ERC-20 dan tampilan data transparan Block explorer. 

Fungsi transfer dan transferFrom standar ERC-20 memfasilitasi penambahan sembarang alamat sebagai pengirim token dan bahwa alamat Dari diubah dari alamat pemrakarsa kontrak. 

Blok penjelajah seperti Etherscan menampilkan alamat Dari daripada alamat inisiator tx, yang mengakibatkan pengguna mengantongi token yang tidak berharga. 

Adakah Peristiwa Spam Token Spoof Terbaru?

Pengumuman baru-baru ini tentang "airdrop" Ukraina untuk menghargai donasi cryptocurrency oleh pengguna telah diposting di pegangan Twitter.

Sumber: Ukraine / Україна on Twitter: “Airdrop telah dikonfirmasi. Snapshot akan diambil besok, pada tanggal 3 Maret, pukul 6:2 waktu Kyiv (UTC/GMT +XNUMX jam). Hadiah untuk diikuti! Ikuti berita selanjutnya tentang kampanye donasi crypto Ukraina di @FedorovMykhailo” / Twitter

Segera setelah itu, penjelajah blok Ethereum, Etherscan, menampilkan dompet resmi Ukraina yang menyimpan 7 miliar token “Dunia Damai” untuk airdrop crypto rahasia. 

Ada juga aktivitas dari dompet resmi Ukraina yang mengirimkan token ke alamat dompet crypto yang disumbangkan ke dana Ukraina. 

Tapi tidak ada detail acara airdrop resmi setelah postingan awal dari pihak berwenang (seperti jenis token atau jumlah token yang akan diluncurkan, dll.)

Belakangan, analis blockchain mengonfirmasi bahwa token dunia damai (DUNIA) mungkin palsu, dan Etherscan menandainya sebagai "menyesatkan" dan menandainya sebagai spam. 

Contoh ini menunjukkan caranya Alamat dompet Ukraina digunakan untuk meluncurkan airdrop palsu– contoh spoofing token. 

Bagaimana Cara Menghindari Membeli Token Spoof?

Cara terbaik adalah menggali detail transaksi dan melihat apakah alamat Dari dan alamat pemrakarsa transfer token sama.

Meskipun tidak semua transfer token yang dimulai dari alamat yang berbeda dapat menjadi spoof, dengan menggunakan fitur 'daftar abaikan Token' di EtherScan yang mencantumkan token mencurigakan dalam kategori ini, pengguna dapat tetap waspada dan waspada terhadap token yang berinteraksi dengan mereka. 

QuillAudits Dalam Keamanan Web3 

QuillAudit adalah perusahaan keamanan terkemuka yang menawarkan perlindungan untuk usaha yang sudah mapan dan berkembang dengan menyediakan audit kontrak cerdas dan layanan uji tuntas untuk tetap waspada terhadap peretasan web3. 

Hubungi pakar kami untuk konsultasi gratis hanya dalam waktu kurang dari 10 menit: 

https://t.me/quillaudits_official

15 views