Dunia crypto menarik banyak penjahat karena kemudahan akses ke uang. Sebuah cerita yang menarik dalam hal ini adalah Phantom Wallet.
Di sebuah posting panjang diterbitkan minggu lalu di blog resmi, Phantom menjelaskan poin-poin penting terkait keamanan dompet.
Phantom adalah dompet crypto non-penahanan yang dirancang agar aman, namun mudah digunakan, dan digunakan oleh komunitas Solana karena secara khusus mendukung blockchain tersebut.
Dompet hantu: serangan crypto dihindari
Dalam postingan tersebut, penulis menyoroti fitur Pratinjau Transaksi, yang memungkinkan pengguna untuk melihat semacam pratinjau transaksi, dalam beberapa hal mirip dengan firewall yang mengidentifikasi transaksi jahat dan memberi tahu pengguna sebelum mereka menyetujuinya.
Ini melindungi pengguna dari serangan phishing, pharming, dan lainnya dengan memberikan peringatan waktu nyata kepada pengguna. Lansiran disediakan oleh perusahaan khusus Blowfish.
blowfish menganalisis transaksi sebelum akhirnya disetujui oleh pengguna, mencari segala sesuatu yang tampak mencurigakan.
Penulis postingan tersebut mengklaim bahwa, sejauh ini, pratinjau transaksi Phantom telah memindai lebih dari 85 juta transaksi sehingga mencegah lebih dari 18,000 transaksi penipuan yang bertujuan mencuri dana dari pengguna. Pada bulan lalu saja, lebih dari 3,000 pengguna akan dilindungi dengan cara ini.
Oleh karena itu, ini bukan serangan langsung ke dompet, yang menjadi non-penahanan sangat sulit untuk diserang, tetapi ditujukan langsung ke pengguna.
Secara khusus, Blowfish menemukan banyak transaksi yang diarahkan ke alamat yang termasuk dalam daftar hitam mereka, atau yang salah memanggil fungsi setAuthority, atau mencoba menghindari kontrol. Dalam beberapa kasus, upaya aktual untuk menguras dompet pengguna yang tidak menaruh curiga terungkap.
Blowfish memeriksa domain atau situs web yang mencurigakan, tetapi juga token atau upaya mencurigakan untuk mengaburkan kode dalam kontrak pintar.
Jadi meskipun ini bukan serangan yang diarahkan ke Dompet Phantom, mereka masih terdeteksi oleh Blowfish melalui analisis eksternal terkait berbagai alat dan pelaku di dalam industri kripto.
Serangan sukses
Di sisi lain, diketahui bahwa ada, dan terus ada, banyak serangan berhasil yang ditujukan untuk merebut token pengguna dompet ini dan lainnya secara menipu.
Memang, tidak mungkin untuk memverifikasi semua kontrak pintar dan semua alamat penerima, dan seringkali, bahkan saat memverifikasi, sulit untuk mengetahui apakah ini benar-benar upaya penipuan atau bukan.
Secara teori, seharusnya pengguna sendiri yang harus mencoba membela diri, karena tidak mungkin untuk sepenuhnya mencegah mereka mengirim dana ke scammers. Namun, tentu saja beberapa bantuan dapat datang dari layanan yang mengetahui industri dengan sangat baik dan dengan demikian dapat memperingatkan pengguna tentang kemungkinan masalah.
Persentasenya rendah
Perlu dicatat bahwa dari 85 juta transaksi yang diperiksa di Phantom, hanya 18,000 yang ditemukan mencurigakan. Meskipun sama sekali tidak pasti bahwa tidak ada orang lain yang lolos dari pengawasan Blowfish, 18,000 dari 85 juta adalah sekitar 0.02%, yang merupakan persentase yang dapat diabaikan. Artinya, 99.98% transaksi ditemukan tidak mencurigakan.
Agar adil, bagaimanapun, serangan besar yang menghasilkan banyak uang bagi pencuri token bukanlah yang ditujukan untuk investor kecil. Mereka terutama yang ditujukan untuk kontrak atau pertukaran pintar, di mana dana dalam jumlah besar disimpan.
Dalam kasus ini jarang terjadi phishing atau rekayasa sosial, tetapi seringkali peretasan aktual yang mengeksploitasi kerentanan teknis.
Dompet non-penahanan, seperti Phantom, umumnya tidak memiliki kerentanan ini, terutama ketika kodenya adalah sumber terbuka, yaitu publik dan dapat diverifikasi oleh siapa pun.
Oleh karena itu, peretas jarang mengalihkan perhatian mereka ke dompet non-penahanan, tetapi lebih memilih alat atau platform yang mungkin mengalami beberapa kerentanan teknis, dan yang dapat menghasilkan keuntungan besar jika diretas.
Sebaliknya, penipu lebih suka menargetkan pengguna biasa, tidak mengeksploitasi kerentanan dompet mereka tetapi perilaku mereka, terutama ketidaktahuan, kecerobohan, dan kedangkalan.
Meskipun demikian, persentase keseluruhan dari transaksi mencurigakan atau penipuan dalam sektor crypto tidak terlalu tinggi, karena sebagian besar transaksi adalah benar dan sah.
Masalahnya adalah, dalam beberapa kasus, sejumlah besar token dicuri dengan beberapa transaksi penipuan, sejauh pencurian jutaan atau bahkan miliaran dolar di sektor ini tidak jarang terjadi seperti yang diinginkan.
Sumber: https://en.cryptonomist.ch/2023/01/30/crypto-18000-attacks-phantom/