Transaction Replacement Attack

Apa itu Transaction Replacement Attack?

Transaction Replacement Attack adalah ketika seseorang mengirim pembayaran kripto, lalu dengan cepat menyiarkan versi lain dari transaksi itu dengan detail yang diubah sebelum transaksi terkonfirmasi. Tujuannya menipu pihak yang menerima pembayaran yang masih tertunda. Bayangkan menjanjikan uang di kasir, lalu berlari kembali untuk menukar lembaran uang saat kasir tidak melihat.

Bagaimana Transaction Replacement Attack bekerja

Penjelasan singkat langkah demi langkah dengan momen kasir sederhana sebagai contoh.

• Langkah 1: Seorang penyerang mengirimkan pembayaran kepada Anda dengan biaya rendah. Anda melihatnya tertunda dan merasa aman.
• Langkah 2: Sebelum konfirmasi, penyerang membuat transaksi baru yang menggunakan dana yang sama, sering kali lewat Replace by Fee (RBF) atau dengan mengirim ulang dengan nonce yang sama pada jaringan berbasis akun.
• Langkah 3: Pengganti menawarkan biaya lebih besar dan lebih menarik bagi penambang, sehingga yang baru ditambang sementara versi pertama diabaikan.
• Langkah 4: Ini lebih mudah terjadi saat kepadatan jaringan tinggi, ketika penambang memprioritaskan biaya yang lebih tinggi.
• Langkah 5: Anda menyerahkan produk atau layanan saat pembayaran masih tertunda dan ternyata tidak dibayar setelah jaringan mengonfirmasi transaksi pengganti.

Itu gerakannya. Sederhana, agak licik, dan dapat dicegah.

Mengapa Transaction Replacement Attack penting

Ini alasan untuk memperhatikannya, apakah Anda menjalankan kasir atau hanya memindahkan koin ke teman.

• Keuntungan: Mekanisme penggantian memungkinkan pengguna jujur mempercepat pembayaran yang macet dengan menaikkan biaya, berguna saat Anda perlu konfirmasi segera.
• Sudut pandang: Alat yang sama yang membantu Anda juga bisa disalahgunakan melawan Anda jika Anda mempercayai pembayaran tertunda untuk barang atau akses.
• Relevansi: Anda akan melihat ini di sistem point of sale, minting NFT, perdagangan OTC, dan di mana pun orang menerima transaksi tertunda.

Ciri Utama Transaction Replacement Attack

Apa yang membedakannya, dengan bahasa sederhana:

• Waktu: Terjadi sebelum konfirmasi, sementara transaksi masih berada di mempool.
• Insentif: Biaya lebih tinggi atau syarat yang lebih menarik membuat penambang atau validator memasukkan transaksi pengganti alih-alih yang asli.
• Sinyal: Beberapa transaksi ditandai sebagai dapat diganti, dan jaringan berbasis akun mengizinkan penggantian dengan nonce yang sama.
• Sasaran: Pedagang atau rekan yang menerima pembayaran tertunda menjadi target utama.

Variasi

Tema sama, mekanisme sedikit berbeda tergantung jaringan.

1. RBF: Pengirim menandai pembayaran sebagai dapat diganti lalu menyiarkan versi dengan biaya lebih tinggi yang mengubah output atau penerima.
2. Nonce swap: Di jaringan berbasis akun, pengguna mengirim ulang transaksi dengan nonce yang sama tapi gas lebih tinggi, yang membatalkan atau mengubah niat sebelumnya.
3. Trik pengembalian dana: Pengirim pertama-tama membayar pedagang, lalu mengganti pembayaran tertunda dengan yang mengirim dana kembali ke alamat yang mereka kendalikan.

Contoh

Sebuah kafe menerima pembayaran tertunda untuk latte; pembeli segera menyiarkan pengganti dengan biaya lebih tinggi yang mengirim dana ke tempat lain, dan barista baru menyadari kemudian bahwa pembeli sedang memanfaatkan kemampuan penggantian.

Fakta Menarik

Penambahan biaya diperkenalkan untuk membantu pengguna jujur menyelamatkan transaksi yang macet, jauh sebelum hal itu menjadi meme untuk tipu daya. Seperti banyak langkah teknologi, ini seperti Rolex bertemu thread Reddit tergantung siapa yang memegang kunci.

Ringkasan

Versi singkat: jangan kirim barang berdasarkan kemungkinan. Tunggu satu atau dua blok, lalu tenang.