Learn
Panduan Awal Keamanan Web3: Cara Menghindari Scam Airdrop

Panduan Awal Keamanan Web3: Cara Menghindari Scam Airdrop

9/15/2024, 6:25:09 PM
Pemula
TutorialAirdrop
Airdrop dapat dengan cepat mendorong proyek dari ketidaktahuan ke sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Namun, dari situs web palsu hingga alat dengan pintu belakang, hacker telah mengatur jebakan di seluruh proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan ini.

Latar Belakang

Dalam panduan sebelumnya tentang keamanan Web3, kami membahas topik phishing multisig, membahasmekanisme dompet multisig, bagaimana penyerang mengeksploitasi mereka, dan bagaimana cara menjaga dompet Anda dari tanda tangan jahat. Dalam bagian ini, kami akan membahas taktik pemasaran yang banyak digunakan dalam industri tradisional dan crypto - airdrop.

Airdrop dapat dengan cepat mendorong sebuah proyek dari ketidakdikenalan menjadi sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Biasanya, pengguna berpartisipasi dalam proyek Web3 dengan mengklik tautan dan berinteraksi dengan proyek untuk klaim token yang di-drop. Namun, mulai dari situs web palsu hingga alat yang disisipi pintu belakang, para peretas telah membuat jebakan di sepanjang proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan-jebakan ini.

Apa itu Airdrop?

Airdrop terjadi ketika proyek Web3 mendistribusikan token gratis ke alamat dompet tertentu untuk meningkatkan visibilitasnya dan menarik pengguna awal. Ini adalah salah satu metode yang paling langsung bagi proyek untuk mendapatkan basis pengguna. Airdrop umumnya dapat dikategorikan menjadi jenis-jenis berikut berdasarkan cara mereka diklaim:

  • Berdasarkan Tugas: Menyelesaikan tugas yang ditentukan oleh proyek, seperti berbagi konten atau menyukai postingan.

  • Berdasarkan Interaksi: Melakukan tindakan seperti pertukaran token, mengirim/menerima token, atau operasi lintas-rantai.

  • Berbasis Holding: Menahan token tertentu dari proyek untuk memenuhi syarat airdrop.

  • Staking-Based: Menerima token yang di-drop melalui staking aset tunggal atau ganda, menyediakan likuiditas, atau mengunci token dalam jangka panjang.

Risiko dalam Mengklaim Airdrop

Penipuan Airdrop Palsu

Penipuan ini dapat dibagi menjadi beberapa jenis:

  1. Akun Resmi Diculik: Para peretas dapat mengambil alih akun resmi suatu proyek dan memposting pengumuman airdrop palsu. Misalnya, seringkali kita melihat peringatan di platform berita seperti 'Akun X atau Discord dari Proyek Y telah diretas; jangan klik tautan phising yang dibagikan oleh peretas'. Menurut Laporan Keamanan Blockchain dan Anti-Pencucian Uang Pertengahan Tahun 2024 kami, ada 27 insiden seperti itu hanya dalam setengah pertama 2024. Pengguna, yang mempercayai akun resmi, mungkin akan mengklik tautan ini dan diarahkan ke situs phising yang menyamar sebagai halaman airdrop. Jika mereka memasukkan kunci pribadi, frasa benih, atau memberikan izin, peretas dapat mencuri aset mereka.

  1. Penyamaran di Bagian Komentar: Hacker sering membuat akun proyek palsu dan memposting di komentar saluran media sosial proyek asli, mengklaim menawarkan airdrop. Pengguna yang tidak hati-hati mungkin mengikuti tautan ini ke situs phishing. Misalnya, tim keamanan SlowMist sebelumnya telah menganalisis taktik-taktik ini dan memberikan rekomendasi dalam artikel berjudul "Hati-hati dengan Penyamaran di Bagian Komentar." Selain itu, setelah airdrop yang sah diumumkan, para hacker dengan cepat merespons dengan memposting tautan phishing menggunakan akun palsu yang menyerupai yang resmi. Banyak pengguna telah tertipu untuk menginstal aplikasi berbahaya atau menandatangani transaksi di situs phishing.

  1. Serangan Rekayasa Sosial: Dalam beberapa kasus, penipu menyusup ke dalam grup proyek Web3, menargetkan pengguna tertentu, dan menggunakan teknik rekayasa sosial untuk menipu mereka. Mereka dapat menyamar sebagai staf pendukung atau anggota komunitas yang membantu, menawarkan bantuan kepada pengguna dalam proses klaim airdrop, namun sebenarnya tujuannya adalah mencuri aset mereka. Pengguna harus tetap waspada dan tidak percaya tawaran bantuan yang tidak diminta dari individu yang mengaku sebagai perwakilan resmi.

Token Airdrop “Gratis”

Sementara sebagian besar airdrop memerlukan pengguna untuk menyelesaikan tugas, ada beberapa kasus di mana token muncul di dompet Anda tanpa tindakan dari pihak Anda. Para peretas seringkali mengirimkan token tak berharga ke dompet Anda, dengan harapan Anda akan berinteraksi dengan token tersebut dengan mentransfer, melihat, atau mencoba untuk memperdagangkannya di bursa terdesentralisasi. Namun, ketika mencoba untuk berinteraksi dengan NFT Scam ini, Anda mungkin akan menemui pesan kesalahan yang meminta Anda untuk mengunjungi situs web untuk “membuka kunci item Anda.” Ini adalah perangkap yang mengarah ke situs phishing.

Jika seorang pengguna mengunjungi situs web phishing yang ditautkan oleh Scam NFT, peretas dapat melakukan tindakan-tindakan berikut:

  • Lakukan pembelian "tanpa biaya" NFT berharga (lihat analisis phising NFT "pembelian tanpa biaya").

  • Mencuri token bernilai tinggi melalui otorisasi Approve atau tanda tangan Permit.

  • Ambil aset asli.

Selanjutnya, mari kita tinjau bagaimana para peretas dapat mencuri biaya gas pengguna melalui kontrak jahat yang dirancang dengan cermat.

Pertama, hacker membuat kontrak jahat bernama GPT di Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) dan memikat pengguna untuk berinteraksi dengannya dengan cara airdrop token.

Ketika pengguna berinteraksi dengan kontrak jahat ini, mereka diminta untuk menyetujui penggunaan token kontrak di dompet mereka. Jika pengguna menyetujui permintaan ini, kontrak jahat secara otomatis meningkatkan batas gas berdasarkan saldo dompet pengguna, yang mengakibatkan konsumsi gas yang lebih tinggi dalam transaksi berikutnya.

Dengan memanfaatkan batas gas yang tinggi yang disediakan oleh pengguna, kontrak jahat menggunakan gas berlebih untuk mencetak token CHI (token CHI dapat digunakan untuk kompensasi gas). Setelah mengumpulkan sejumlah besar token CHI, peretas dapat membakar token ini untuk menerima pengembalian gas saat kontrak dihancurkan.

https://x.com/SlowMist_Team/status/1640614440294035456

Melalui metode ini, para peretas dengan cerdik mendapatkan keuntungan dari biaya gas pengguna, sementara pengguna mungkin tidak menyadari bahwa mereka telah membayar biaya gas tambahan. Pengguna awalnya berharap untuk mendapatkan keuntungan dari penjualan token yang di-drop tetapi malah kehilangan aset asli mereka.

Alat pintu belakang

https://x.com/evilcos/status/1593525621992599552

Selama proses klaim airdrop, beberapa pengguna perlu mengunduh plugin untuk tugas seperti terjemahan atau memeriksa kelangkaan token. Namun, keamanan plugin ini dipertanyakan, dan beberapa pengguna tidak mengunduhnya dari sumber resmi, meningkatkan risiko mengunduh plugin dengan backdoor.

Selain itu, kami telah memperhatikan layanan online yang menjual skrip untuk mengklaim airdrop, yang mengklaim untuk mengotomatisasi interaksi berkelompok dengan efisien. Namun, harap diketahui bahwa mengunduh dan menjalankan skrip yang tidak terverifikasi dan tidak ditinjau sangat berisiko, karena Anda tidak dapat yakin dengan sumber skrip atau fungsi sebenarnya. Skrip ini mungkin mengandung kode berbahaya, menyebabkan ancaman potensial seperti pencurian kunci pribadi atau frasa benih, atau melakukan tindakan tidak sah lainnya. Selain itu, beberapa pengguna, ketika melakukan operasi berisiko seperti ini, entah tidak memiliki perangkat lunak antivirus terpasang atau menonaktifkannya, yang dapat mencegah mereka mendeteksi apakah perangkat mereka telah terinfeksi malware, menyebabkan kerusakan lebih lanjut.

Kesimpulan

Dalam panduan ini, kami telah menyoroti berbagai risiko yang terkait dengan klaim airdrop dengan menganalisis taktik penipuan umum. Airdrop adalah strategi pemasaran yang populer, tetapi pengguna dapat mengurangi risiko kehilangan aset selama proses dengan mengambil langkah-langkah berikut:

  • Periksa dengan Teliti: Selalu periksa URL ketika mengunjungi situs web airdrop. Konfirmasikan melalui akun resmi atau pengumuman, dan pertimbangkan untuk menginstal plugin deteksi risiko phishing seperti Scam Sniffer.

  • Gunakan Dompet Terpisah: Simpan hanya jumlah dana yang kecil di dompet yang digunakan untuk airdrop, sementara menyimpan jumlah yang lebih besar di dompet dingin.

  • Berhati-hatilah dengan Airdrop yang Tidak Dikenal: Jangan berinteraksi atau menyetujui transaksi yang melibatkan token airdrop dari sumber yang tidak dikenal.

  • Periksa Batasan Gas: Selalu tinjau batasan gas sebelum mengonfirmasi transaksi, terutama jika terlihat sangat tinggi.

  • Gunakan Perangkat Lunak Antivirus Terpercaya: Aktifkan perlindungan waktu nyata dan rutin perbarui perangkat lunak antivirus Anda untuk memastikan ancaman terbaru diblokir.

Penafian:

  1. Artikel ini diterjemahkan dari [SunSec], Semua hak cipta adalah milik penulis asli [SlowMist]. Jika ada keberatan terhadap cetakan ulang ini, harap hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
  2. Penafian Tanggung Jawab: Pandangan dan pendapat yang terdapat dalam artikel ini semata-mata merupakan pandangan penulis dan tidak merupakan saran investasi apa pun.
  3. Terjemahan artikel ke bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan sebaliknya, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.

Bagikan

Konten

Latar Belakang

Apa itu Airdrop?

Risiko dalam Mengklaim Airdrops

Peralatan pintu belakang

Kesimpulan

Kalender Kripto

Pembaruan Proyek
Etherex akan meluncurkan token REX pada 6 Agustus.
REX
22.27%
2025-08-06
Hari Rare Dev & Governance di Las Vegas
Cardano akan mengadakan Rare Dev & Governance Day di Las Vegas, dari 6 hingga 7 Agustus, menampilkan lokakarya, hackathon, dan diskusi panel yang berfokus pada pengembangan teknis dan topik tata kelola.
ADA
-3.44%
2025-08-06
Blockchain.Rio di Rio De Janeiro
Stellar akan berpartisipasi dalam konferensi Blockchain.Rio, yang dijadwalkan berlangsung di Rio de Janeiro, dari 5 hingga 7 Agustus. Program ini akan mencakup pidato kunci dan diskusi panel yang menampilkan perwakilan ekosistem Stellar bekerja sama dengan mitra Cheesecake Labs dan NearX.
XLM
-3.18%
2025-08-06
Webinar
Circle telah mengumumkan webinar Executive Insights langsung berjudul "Era GENIUS Act Dimulai", yang dijadwalkan pada 7 Agustus 2025, pukul 14:00 UTC. Sesi ini akan mengeksplorasi implikasi dari GENIUS Act yang baru saja disahkan—kerangka regulasi federal pertama untuk stablecoin pembayaran di Amerika Serikat. Dante Disparte dan Corey Then dari Circle akan memimpin diskusi tentang bagaimana legislasi ini mempengaruhi inovasi aset digital, kejelasan regulasi, dan kepemimpinan AS dalam infrastruktur keuangan global.
USDC
-0.03%
2025-08-06
AMA di X
Ankr akan mengadakan AMA di X pada 7 Agustus pukul 16:00 UTC, yang berfokus pada pekerjaan DogeOS dalam membangun lapisan aplikasi untuk DOGE.
ANKR
-3.23%
2025-08-06

Artikel Terkait

Apa itu Tronscan dan Bagaimana Anda Dapat Menggunakannya pada Tahun 2025?
Pemula

Apa itu Tronscan dan Bagaimana Anda Dapat Menggunakannya pada Tahun 2025?

Tronscan adalah penjelajah blockchain yang melampaui dasar-dasar, menawarkan manajemen dompet, pelacakan token, wawasan kontrak pintar, dan partisipasi tata kelola. Pada tahun 2025, ia telah berkembang dengan fitur keamanan yang ditingkatkan, analitika yang diperluas, integrasi lintas rantai, dan pengalaman seluler yang ditingkatkan. Platform ini sekarang mencakup otentikasi biometrik tingkat lanjut, pemantauan transaksi real-time, dan dasbor DeFi yang komprehensif. Pengembang mendapatkan manfaat dari analisis kontrak pintar yang didukung AI dan lingkungan pengujian yang diperbaiki, sementara pengguna menikmati tampilan portofolio multi-rantai yang terpadu dan navigasi berbasis gerakan pada perangkat seluler.
11/22/2023, 6:27:42 PM
Analisis Teknis adalah apa?
Pemula

Analisis Teknis adalah apa?

Belajar dari masa lalu - Untuk menjelajahi hukum pergerakan harga dan kode kekayaan di pasar yang selalu berubah.
11/21/2022, 10:04:58 AM
Risiko yang Harus Anda Waspadai Saat Berdagang Kripto
Pemula

Risiko yang Harus Anda Waspadai Saat Berdagang Kripto

Apa yang Anda ketahui tentang risiko perdagangan cryptocurrency? Seiring berkembangnya banyak proyek mata uang kripto, ada semakin banyak risiko yang perlu dipertimbangkan, termasuk penipuan umum, peretasan, dan risiko peraturan.
11/21/2022, 10:15:01 AM
Top 20 Airdrop Kripto pada 2025
Pemula

Top 20 Airdrop Kripto pada 2025

Artikel ini memperlihatkan 20 proyek airdrop paling menjanjikan pada tahun 2025, menampilkan platform perdagangan Pump.fun, dompet lintas-rantai Phantom, dan ekosistem lintas-rantai Eclipse. Usaha-usaha ini mencakup sektor DeFi, NFT, dan AI—masing-masing didukung oleh pendanaan substansial. Melalui analisis mendetail tentang latar belakang proyek, putaran pendanaan, dan metode partisipasi, pembaca akan belajar bagaimana memaksimalkan manfaat potensial dari partisipasi airdrop secara dini. Pengalaman masa lalu menunjukkan bahwa terlibat dalam airdrop proyek berkualitas menawarkan akses dini ke teknologi canggih dan potensi imbalan keuangan.
2/17/2025, 10:52:38 AM
Panduan Pemula untuk Berdagang
Pemula

Panduan Pemula untuk Berdagang

Artikel ini membuka gerbang perdagangan mata uang kripto, menjelajahi area yang tidak diketahui, menjelaskan proyek kripto, dan memperingatkan pembaca tentang potensi risiko.
11/21/2022, 10:12:11 AM
Panduan Cara Berpindah Jaringan di MetaMask
Pemula

Panduan Cara Berpindah Jaringan di MetaMask

Ini adalah panduan sederhana langkah demi langkah tentang cara mengalihkan jaringan Anda di MetaMask.
1/11/2024, 10:37:30 AM
Mulai Sekarang
Daftar dan dapatkan Voucher
$100
!