Panduan Transaksi Aman Web3: Membangun Sistem Perlindungan Mandiri untuk Aset On-chain

Seiring dengan perkembangan berkelanjutan ekosistem blockchain, transaksi on-chain telah menjadi bagian penting dari operasi sehari-hari pengguna Web3. Aset pengguna semakin cepat berpindah dari platform terpusat ke jaringan terdesentralisasi, tren ini berarti tanggung jawab keamanan aset secara bertahap berpindah dari platform ke pengguna itu sendiri. Dalam lingkungan on-chain, pengguna perlu bertanggung jawab atas setiap langkah interaksi, baik itu mengimpor wallet, mengakses aplikasi terdesentralisasi, atau menandatangani otorisasi dan memulai transaksi, setiap tindakan yang tidak hati-hati dapat menjadi risiko keamanan, yang dapat menyebabkan kebocoran kunci pribadi, penyalahgunaan otorisasi, atau serangan phishing yang serius.

Meskipun saat ini plugin dompet dan browser mainstream secara bertahap mengintegrasikan fungsi-fungsi seperti pengenalan phising dan peringatan risiko, namun menghadapi teknik serangan yang semakin kompleks, hanya mengandalkan pertahanan pasif dari alat masih sulit untuk sepenuhnya menghindari risiko. Untuk membantu pengguna lebih jelas mengenali titik-titik risiko potensial dalam transaksi on-chain, kami berdasarkan pengalaman praktis, menyusun skenario risiko tinggi sepanjang proses, dan menggabungkannya dengan saran perlindungan serta keterampilan penggunaan alat, telah merumuskan panduan keamanan transaksi on-chain yang sistematis, bertujuan untuk membantu setiap pengguna Web3 membangun garis pertahanan keamanan yang "dapat dikendalikan sendiri".

Prinsip inti dari transaksi yang aman:

• Tolak Tanda Tangan Buta: Jangan pernah menandatangani transaksi atau pesan yang tidak Anda pahami.
• Verifikasi Berulang: Sebelum melakukan transaksi apa pun, pastikan untuk memverifikasi akurasi informasi terkait beberapa kali.

Satu, Saran Perdagangan Aman

Kunci untuk melindungi aset digital adalah transaksi yang aman. Penelitian menunjukkan bahwa menggunakan dompet yang aman dan otentikasi ganda dapat secara signifikan mengurangi risiko. Berikut adalah saran spesifik:

• Pilih dompet yang aman: Utamakan penyedia dompet yang memiliki reputasi baik, seperti dompet perangkat keras atau dompet perangkat lunak terkenal. Dompet perangkat keras menyediakan penyimpanan offline, mengurangi risiko serangan online, dan cocok untuk menyimpan aset dalam jumlah besar.

• Periksa detail transaksi dengan teliti: Sebelum mengonfirmasi transaksi, pastikan untuk memverifikasi alamat penerimaan, jumlah, dan jaringan, untuk menghindari kerugian akibat kesalahan input.

• Aktifkan autentikasi dua faktor: Jika platform perdagangan atau dompet mendukung otentikasi dua faktor, pastikan untuk mengaktifkannya untuk meningkatkan keamanan akun, terutama saat menggunakan dompet panas.

• Hindari menggunakan Wi-Fi publik: Jangan melakukan transaksi di jaringan Wi-Fi publik, untuk mencegah serangan phishing dan serangan man-in-the-middle.

Dua, bagaimana cara melakukan transaksi yang aman

Sebuah proses transaksi aplikasi terdesentralisasi yang lengkap mencakup beberapa tahap: pemasangan dompet, mengakses aplikasi, menghubungkan dompet, penandatanganan pesan, penandatanganan transaksi, dan pemrosesan pasca-transaksi. Setiap tahap memiliki risiko keamanan tertentu, berikut akan dijelaskan secara bertahap tentang hal-hal yang perlu diperhatikan dalam praktik.

1. Pemasangan Dompet:

Saat ini, cara utama penggunaan aplikasi terdesentralisasi adalah melalui interaksi dengan dompet plugin browser. Dompet utama yang digunakan di Ethereum dan rantai yang kompatibel mencakup berbagai pilihan.

Saat menginstal dompet ekstensi Chrome, perlu memastikan untuk mengunduh dan menginstal dari toko aplikasi resmi, hindari menginstal dari situs pihak ketiga untuk mencegah instalasi perangkat lunak dompet yang memiliki backdoor. Pengguna yang memungkinkan disarankan untuk menggunakan dompet perangkat keras bersamaan untuk meningkatkan keamanan penyimpanan kunci pribadi.

Saat menginstal kata sandi cadangan dompet (biasanya frasa pemulihan 12-24 kata), disarankan untuk menyimpannya di lokasi fisik yang aman, jauh dari perangkat digital, seperti menulisnya di atas kertas dan menyimpannya di brankas.

2. Mengakses aplikasi terdesentralisasi

Phishing web adalah metode umum dalam serangan Web3. Kasus tipikal adalah memancing pengguna untuk mengunjungi aplikasi phishing dengan nama airdrop, dan setelah pengguna menghubungkan dompet mereka, memancing mereka untuk menandatangani otorisasi token, transaksi transfer, atau tanda tangan otorisasi token, yang mengakibatkan kerugian aset.

Oleh karena itu, saat mengakses aplikasi terdesentralisasi, pengguna harus tetap waspada dan menghindari jebakan phishing di situs web.

Sebelum mengakses aplikasi, pastikan keakuratan URL. Saran:

• Hindari mengakses secara langsung melalui mesin pencari: Penyerang phishing mungkin meningkatkan peringkat situs phishing mereka dengan membeli ruang iklan.
• Hati-hati mengklik tautan di media sosial: URL yang diposting dalam komentar atau pesan mungkin merupakan tautan phishing.
• Verifikasi akurasi URL aplikasi melalui berbagai saluran: dapat dilakukan melalui pasar aplikasi terdesentralisasi, akun media sosial resmi tim proyek, dan lainnya.
• Tambahkan situs web aman ke favorit browser: Akses langsung dari favorit di kemudian hari.

Setelah membuka halaman aplikasi, perlu melakukan pemeriksaan keamanan pada bilah alamat:

• Periksa apakah nama domain dan URL memiliki kesamaan tiruan.
• Pastikan itu adalah tautan HTTPS, browser harus menampilkan simbol kunci🔒.

Saat ini, dompet plugin utama di pasar juga telah mengintegrasikan fungsi peringatan risiko tertentu, yang dapat menampilkan peringatan kuat saat mengakses situs web berisiko.

3. Menghubungkan Dompet

Setelah masuk ke aplikasi, koneksi dompet dapat dipicu secara otomatis atau setelah menekan tombol koneksi secara aktif. Dompet plugin akan melakukan beberapa pemeriksaan dan menampilkan informasi untuk aplikasi saat ini.

Setelah menghubungkan dompet, biasanya aplikasi tidak akan secara aktif memanggil dompet plugin jika pengguna tidak melakukan operasi lain. Jika situs web sering memanggil dompet untuk meminta tanda tangan pesan, menandatangani transaksi, bahkan setelah menolak tanda tangan, tanda-tanda ini menunjukkan bahwa situs tersebut mungkin adalah situs phishing, dan perlu ditangani dengan hati-hati.

4. Tanda Tangan Pesan

Dalam situasi ekstrem, seperti ketika penyerang berhasil menyusup ke situs resmi protokol atau melakukan serangan seperti peretasan front-end dan mengganti konten halaman, pengguna biasa akan kesulitan untuk menilai keamanan situs dalam skenario ini.

Saat ini, tanda tangan dompet plugin adalah garis pertahanan terakhir pengguna untuk melindungi aset mereka. Selama menolak tanda tangan jahat, keamanan aset dapat terjamin. Pengguna harus memeriksa dengan cermat konten tanda tangan saat menandatangani pesan dan transaksi apa pun, menolak tanda tangan buta, untuk menghindari kehilangan aset.

Tipe tanda tangan yang umum termasuk:

• Tanda tangan data hash
• Tanda tangan informasi plaintext, paling umum digunakan saat verifikasi login pengguna atau konfirmasi perjanjian izin.
• Tanda tangan data terstruktur, sering digunakan untuk izin token, daftar NFT, dll.

5. Tanda Tangan Transaksi

Tanda tangan transaksi digunakan untuk mengautorisasi transaksi blockchain, seperti transfer atau pemanggilan kontrak pintar. Pengguna menandatangani dengan kunci pribadi, jaringan memverifikasi keabsahan transaksi. Saat ini banyak dompet plugin yang akan mendekode pesan yang akan ditandatangani dan menampilkan konten terkait, harus mengikuti prinsip tidak menandatangani secara sembarangan, saran keamanan:

• Periksa dengan teliti alamat penerima, jumlah, dan jaringan untuk menghindari kesalahan.
• Transaksi besar disarankan menggunakan metode tanda tangan offline, untuk mengurangi risiko serangan online.
• Perhatikan biaya gas, pastikan wajar, hindari potensi penipuan.

Untuk pengguna yang memiliki kemampuan teknis tertentu, beberapa metode pemeriksaan manual yang umum dapat digunakan: dengan menyalin alamat kontrak interaksi target ke dalam penjelajah blockchain untuk diperiksa, yang mencakup pemeriksaan utama seperti apakah kontrak bersifat open-source, apakah baru-baru ini ada banyak transaksi, serta apakah penjelajah telah menambahkan label resmi atau label berbahaya untuk alamat tersebut.

6. Pemrosesan Pasca Transaksi

Meskipun berhasil menghindari halaman phishing dan tanda tangan berbahaya, manajemen risiko tetap perlu dilakukan setelah transaksi.

Setelah transaksi, sebaiknya segera memeriksa status on-chain dari transaksi tersebut, untuk mengonfirmasi apakah statusnya sesuai dengan yang diharapkan saat penandatanganan. Jika ada keanehan, perlu segera melakukan pemindahan aset, pencabutan otorisasi, dan tindakan mitigasi kerugian lainnya.

Manajemen otorisasi token juga sangat penting. Dalam beberapa kasus, setelah pengguna memberikan otorisasi token untuk kontrak tertentu, bertahun-tahun kemudian kontrak tersebut diserang, dan penyerang memanfaatkan kuota otorisasi token dari kontrak yang diserang untuk mencuri dana pengguna. Untuk menghindari situasi seperti itu, disarankan agar pengguna mengikuti standar berikut untuk melakukan pencegahan risiko:

• Minimalkan otorisasi. Saat melakukan otorisasi token, jumlah token yang sesuai harus dibatasi sesuai kebutuhan transaksi. Misalnya, jika suatu transaksi memerlukan otorisasi 100 token, maka jumlah otorisasi kali ini harus dibatasi hingga 100 token, dan jangan menggunakan otorisasi tidak terbatas yang default.
• Segera mencabut otorisasi token yang tidak diperlukan. Pengguna dapat menggunakan alat khusus untuk memeriksa status otorisasi alamat yang sesuai, mencabut otorisasi dari protokol yang tidak berinteraksi dalam waktu lama, untuk mencegah adanya celah yang dapat digunakan oleh protokol di kemudian hari yang dapat menyebabkan kerugian aset akibat penggunaan kuota otorisasi pengguna.

Tiga, Strategi Isolasi Dana

Dalam kondisi memiliki kesadaran risiko dan telah melakukan pencegahan risiko yang memadai, juga disarankan untuk melakukan pemisahan dana yang efektif, agar dapat mengurangi tingkat kerugian dana dalam situasi ekstrim. Strategi yang direkomendasikan adalah sebagai berikut:

• Gunakan dompet multi-tanda tangan atau dompet dingin untuk menyimpan aset besar;
• Gunakan dompet plugin atau dompet biasa sebagai dompet panas untuk interaksi sehari-hari;
• Secara berkala mengganti alamat dompet panas, untuk mencegah alamat terus terpapar pada lingkungan yang berisiko.

Jika Anda mengalami serangan phishing, disarankan untuk segera melakukan langkah-langkah berikut untuk mengurangi kerugian:

• Gunakan alat khusus untuk membatalkan otorisasi berisiko tinggi;
• Jika telah menandatangani tanda tangan izin tetapi aset belum dipindahkan, Anda dapat segera mengajukan tanda tangan baru untuk membuat tanda tangan lama tidak berlaku;
• Jika perlu, cepat transfer sisa aset ke alamat baru atau dompet dingin.

Empat, Cara Aman Berpartisipasi dalam Kegiatan Airdrop

Airdrop adalah cara umum untuk mempromosikan proyek blockchain, tetapi juga menyimpan risiko. Berikut adalah beberapa saran:

• Penelitian latar belakang proyek: memastikan proyek memiliki whitepaper yang jelas, informasi tim yang terbuka, dan reputasi komunitas;
• Menggunakan alamat khusus: Mendaftar dompet dan email khusus, mengisolasi risiko akun utama;
• Hati-hati mengklik tautan: hanya dapatkan informasi airdrop melalui saluran resmi, hindari mengklik tautan mencurigakan di platform sosial;

Lima, Rekomendasi Pemilihan dan Penggunaan Alat Plugin

Konten dari pedoman keamanan blockchain sangat beragam, mungkin sulit untuk melakukan pemeriksaan mendetail setiap kali berinteraksi. Memilih plugin yang aman sangat penting, dapat membantu kita membuat penilaian risiko. Berikut adalah saran spesifik:

• Gunakan ekstensi yang tepercaya: Pilih ekstensi browser yang banyak digunakan dan diakui secara umum. Plugin ini menyediakan fungsi dompet dan mendukung interaksi aplikasi terdesentralisasi.
• Pemeriksaan peringkat: Sebelum menginstal plugin baru, periksa peringkat pengguna dan jumlah instalasi. Peringkat tinggi dan banyak instalasi biasanya menunjukkan bahwa plugin lebih dapat diandalkan, mengurangi risiko kode jahat.
• Tetap diperbarui: Perbarui plugin secara berkala untuk mendapatkan fitur keamanan dan perbaikan terbaru. Plugin yang kedaluwarsa mungkin mengandung kerentanan yang diketahui dan mudah dimanfaatkan oleh penyerang.

Enam, Kesimpulan

Dengan mengikuti panduan transaksi aman di atas, pengguna dapat berinteraksi dengan lebih tenang dalam ekosistem blockchain yang semakin kompleks, secara nyata meningkatkan kemampuan perlindungan aset. Meskipun teknologi blockchain memiliki keunggulan inti dalam desentralisasi dan transparansi, ini juga berarti bahwa pengguna harus secara mandiri menghadapi berbagai risiko, termasuk phishing tanda tangan, kebocoran kunci pribadi, dan aplikasi jahat.

Untuk mencapai keamanan sejati di atas rantai, hanya mengandalkan alat pengingat jauh dari kata cukup, membangun kesadaran dan kebiasaan operasi keamanan yang sistematis adalah kuncinya. Dengan menggunakan dompet perangkat keras, menerapkan strategi pemisahan dana, secara berkala memeriksa otorisasi dan memperbarui plugin, serta menerapkan prinsip "verifikasi ganda, menolak tanda tangan buta, pemisahan dana" dalam operasi transaksi, kita dapat benar-benar mencapai "naik rantai dengan bebas dan aman".