Wallet Draining: Waspada Tautan Airdrop Kripto Gratis yang Menguras Dompet Digital
Ceklink Security Team
Departemen Riset Siber & Intelijen Ancaman
Dunia Web3, cryptocurrency, dan NFT menawarkan peluang finansial yang luar biasa, namun di sisi lain juga diiringi dengan risiko keamanan siber yang sangat tinggi. Karakteristik transaksi blockchain yang bersifat ireversibel (tidak dapat dibatalkan) membuat penjahat siber sangat gemar mengincar para investor kripto lewat modus tautan berbahaya.
Salah satu modus paling populer adalah Wallet Draining berkedok pembagian koin gratis (Airdrop) atau pencetakan NFT gratis (Free Mint). Tautan ini sering kali menyebar cepat di grup Telegram, server Discord yang teretas, atau melalui mention akun bot di X (Twitter).
Kronologi Serangan Wallet Draining
Reza (nama samaran), seorang kolektor NFT pemula, melihat sebuah postingan dari akun resmi sebuah proyek NFT populer di X yang menyatakan: "EXCLUSIVE AIRDROP: Kami membagikan token gratis senilai $500 bagi 1.000 holder pertama. Klaim token Anda sekarang dengan menghubungkan wallet Anda di: https://claim-airdrop-solana.fun"
Reza tidak menyadari bahwa akun X proyek tersebut sebenarnya baru saja diretas. Ia mengklik link tersebut dan diarahkan ke situs web klaim hadiah. Di sana, Reza menekan tombol "Connect Wallet" dan menyetujui pop-up transaksi di dompet digitalnya (seperti MetaMask atau Phantom).
Namun, alih-alih menerima token gratis, Reza terkejut saat melihat saldo Ethereum dan koleksi NFT berharga di dompetnya hilang dalam hitungan detik. Mengapa menyetujui koneksi dompet bisa menguras seluruh aset tanpa membutuhkan seed phrase?
Bagaimana Malicious Smart Contract Bekerja?
Situs web wallet draining menggunakan kode skrip jahat yang berinteraksi dengan smart contract. Saat korban menyetujui pop-up transaksi di wallet mereka, mereka sebenarnya tidak sekadar menghubungkan akun, melainkan:
- Menandatangani Transaksi Persetujuan (Approve): Menyetujui fungsi
setApprovalForAllatau memberikan izin pembelanjaan token tanpa batas (unlimited allowance) kepada smart contract penipu. - Mentransfer Hak Kepemilikan: Memberikan wewenang kepada dompet pelaku untuk memindahkan semua token dan NFT berharga keluar dari dompet korban secara otomatis tanpa persetujuan tambahan di masa mendatang.
Cara Terhindar dari Scam Web3 Wallet Draining
Sebelum berinteraksi dengan platform Web3 baru, terapkan protokol keamanan ketat berikut:
- Selalu Gunakan Burner Wallet: Jangan pernah menghubungkan dompet utama Anda yang berisi aset bernilai tinggi ke situs web klaim airdrop atau minting baru. Gunakan dompet sekunder (burner wallet) dengan saldo minimal.
- Periksa Ulang Detail Transaksi: Baca dengan teliti setiap permintaan tanda tangan (signature request) di dompet Anda. Jika ada kata kunci seperti "Approve", "Set Approval For All", atau meminta izin untuk mengontrol aset Anda, segera batalkan transaksi tersebut.
- Gunakan Tool Pihak Ketiga untuk Mencabut Akses: Secara berkala, gunakan platform seperti Revoke.cash untuk melihat aplikasi apa saja yang memiliki izin akses ke dompet Anda, dan segera cabut (revoke) izin yang tidak dikenal atau sudah tidak digunakan.
Jaga Investasi Masa Depan Keluarga Tercinta
Bagi anggota keluarga kita yang mulai aktif berinvestasi di dunia kripto atau Web3, ingatkan mereka bahwa satu klik yang salah pada tautan klaim airdrop palsu bisa menghabiskan seluruh tabungan investasi mereka secara instan.
Sebelum menghubungkan dompet digital ke platform mana pun, biasakan untuk memverifikasi tautannya melalui Ceklink. Ceklink membantu menganalisis risiko redireksi dan usia domain untuk meminimalkan bahaya wallet draining. Jaga hasil jerih payah investasi keluarga Anda tetap aman bersama Ceklink!
