Learn
Panduan Awal Keamanan Web3: Cara Menghindari Scam Airdrop

Panduan Awal Keamanan Web3: Cara Menghindari Scam Airdrop

9/15/2024, 6:25:09 PM
Pemula
TutorialAirdrop
Airdrop dapat dengan cepat mendorong proyek dari ketidaktahuan ke sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Namun, dari situs web palsu hingga alat dengan pintu belakang, hacker telah mengatur jebakan di seluruh proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan ini.

Latar Belakang

Dalam panduan sebelumnya tentang keamanan Web3, kami membahas topik phishing multisig, membahasmekanisme dompet multisig, bagaimana penyerang mengeksploitasi mereka, dan bagaimana cara menjaga dompet Anda dari tanda tangan jahat. Dalam bagian ini, kami akan membahas taktik pemasaran yang banyak digunakan dalam industri tradisional dan crypto - airdrop.

Airdrop dapat dengan cepat mendorong sebuah proyek dari ketidakdikenalan menjadi sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Biasanya, pengguna berpartisipasi dalam proyek Web3 dengan mengklik tautan dan berinteraksi dengan proyek untuk klaim token yang di-drop. Namun, mulai dari situs web palsu hingga alat yang disisipi pintu belakang, para peretas telah membuat jebakan di sepanjang proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan-jebakan ini.

Apa itu Airdrop?

Airdrop terjadi ketika proyek Web3 mendistribusikan token gratis ke alamat dompet tertentu untuk meningkatkan visibilitasnya dan menarik pengguna awal. Ini adalah salah satu metode yang paling langsung bagi proyek untuk mendapatkan basis pengguna. Airdrop umumnya dapat dikategorikan menjadi jenis-jenis berikut berdasarkan cara mereka diklaim:

  • Berdasarkan Tugas: Menyelesaikan tugas yang ditentukan oleh proyek, seperti berbagi konten atau menyukai postingan.

  • Berdasarkan Interaksi: Melakukan tindakan seperti pertukaran token, mengirim/menerima token, atau operasi lintas-rantai.

  • Berbasis Holding: Menahan token tertentu dari proyek untuk memenuhi syarat airdrop.

  • Staking-Based: Menerima token yang di-drop melalui staking aset tunggal atau ganda, menyediakan likuiditas, atau mengunci token dalam jangka panjang.

Risiko dalam Mengklaim Airdrop

Penipuan Airdrop Palsu

Penipuan ini dapat dibagi menjadi beberapa jenis:

  1. Akun Resmi Diculik: Para peretas dapat mengambil alih akun resmi suatu proyek dan memposting pengumuman airdrop palsu. Misalnya, seringkali kita melihat peringatan di platform berita seperti 'Akun X atau Discord dari Proyek Y telah diretas; jangan klik tautan phising yang dibagikan oleh peretas'. Menurut Laporan Keamanan Blockchain dan Anti-Pencucian Uang Pertengahan Tahun 2024 kami, ada 27 insiden seperti itu hanya dalam setengah pertama 2024. Pengguna, yang mempercayai akun resmi, mungkin akan mengklik tautan ini dan diarahkan ke situs phising yang menyamar sebagai halaman airdrop. Jika mereka memasukkan kunci pribadi, frasa benih, atau memberikan izin, peretas dapat mencuri aset mereka.

  1. Penyamaran di Bagian Komentar: Hacker sering membuat akun proyek palsu dan memposting di komentar saluran media sosial proyek asli, mengklaim menawarkan airdrop. Pengguna yang tidak hati-hati mungkin mengikuti tautan ini ke situs phishing. Misalnya, tim keamanan SlowMist sebelumnya telah menganalisis taktik-taktik ini dan memberikan rekomendasi dalam artikel berjudul "Hati-hati dengan Penyamaran di Bagian Komentar." Selain itu, setelah airdrop yang sah diumumkan, para hacker dengan cepat merespons dengan memposting tautan phishing menggunakan akun palsu yang menyerupai yang resmi. Banyak pengguna telah tertipu untuk menginstal aplikasi berbahaya atau menandatangani transaksi di situs phishing.

  1. Serangan Rekayasa Sosial: Dalam beberapa kasus, penipu menyusup ke dalam grup proyek Web3, menargetkan pengguna tertentu, dan menggunakan teknik rekayasa sosial untuk menipu mereka. Mereka dapat menyamar sebagai staf pendukung atau anggota komunitas yang membantu, menawarkan bantuan kepada pengguna dalam proses klaim airdrop, namun sebenarnya tujuannya adalah mencuri aset mereka. Pengguna harus tetap waspada dan tidak percaya tawaran bantuan yang tidak diminta dari individu yang mengaku sebagai perwakilan resmi.

Token Airdrop “Gratis”

Sementara sebagian besar airdrop memerlukan pengguna untuk menyelesaikan tugas, ada beberapa kasus di mana token muncul di dompet Anda tanpa tindakan dari pihak Anda. Para peretas seringkali mengirimkan token tak berharga ke dompet Anda, dengan harapan Anda akan berinteraksi dengan token tersebut dengan mentransfer, melihat, atau mencoba untuk memperdagangkannya di bursa terdesentralisasi. Namun, ketika mencoba untuk berinteraksi dengan NFT Scam ini, Anda mungkin akan menemui pesan kesalahan yang meminta Anda untuk mengunjungi situs web untuk “membuka kunci item Anda.” Ini adalah perangkap yang mengarah ke situs phishing.

Jika seorang pengguna mengunjungi situs web phishing yang ditautkan oleh Scam NFT, peretas dapat melakukan tindakan-tindakan berikut:

  • Lakukan pembelian "tanpa biaya" NFT berharga (lihat analisis phising NFT "pembelian tanpa biaya").

  • Mencuri token bernilai tinggi melalui otorisasi Approve atau tanda tangan Permit.

  • Ambil aset asli.

Selanjutnya, mari kita tinjau bagaimana para peretas dapat mencuri biaya gas pengguna melalui kontrak jahat yang dirancang dengan cermat.

Pertama, hacker membuat kontrak jahat bernama GPT di Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) dan memikat pengguna untuk berinteraksi dengannya dengan cara airdrop token.

Ketika pengguna berinteraksi dengan kontrak jahat ini, mereka diminta untuk menyetujui penggunaan token kontrak di dompet mereka. Jika pengguna menyetujui permintaan ini, kontrak jahat secara otomatis meningkatkan batas gas berdasarkan saldo dompet pengguna, yang mengakibatkan konsumsi gas yang lebih tinggi dalam transaksi berikutnya.

Dengan memanfaatkan batas gas yang tinggi yang disediakan oleh pengguna, kontrak jahat menggunakan gas berlebih untuk mencetak token CHI (token CHI dapat digunakan untuk kompensasi gas). Setelah mengumpulkan sejumlah besar token CHI, peretas dapat membakar token ini untuk menerima pengembalian gas saat kontrak dihancurkan.

https://x.com/SlowMist_Team/status/1640614440294035456

Melalui metode ini, para peretas dengan cerdik mendapatkan keuntungan dari biaya gas pengguna, sementara pengguna mungkin tidak menyadari bahwa mereka telah membayar biaya gas tambahan. Pengguna awalnya berharap untuk mendapatkan keuntungan dari penjualan token yang di-drop tetapi malah kehilangan aset asli mereka.

Alat pintu belakang

https://x.com/evilcos/status/1593525621992599552

Selama proses klaim airdrop, beberapa pengguna perlu mengunduh plugin untuk tugas seperti terjemahan atau memeriksa kelangkaan token. Namun, keamanan plugin ini dipertanyakan, dan beberapa pengguna tidak mengunduhnya dari sumber resmi, meningkatkan risiko mengunduh plugin dengan backdoor.

Selain itu, kami telah memperhatikan layanan online yang menjual skrip untuk mengklaim airdrop, yang mengklaim untuk mengotomatisasi interaksi berkelompok dengan efisien. Namun, harap diketahui bahwa mengunduh dan menjalankan skrip yang tidak terverifikasi dan tidak ditinjau sangat berisiko, karena Anda tidak dapat yakin dengan sumber skrip atau fungsi sebenarnya. Skrip ini mungkin mengandung kode berbahaya, menyebabkan ancaman potensial seperti pencurian kunci pribadi atau frasa benih, atau melakukan tindakan tidak sah lainnya. Selain itu, beberapa pengguna, ketika melakukan operasi berisiko seperti ini, entah tidak memiliki perangkat lunak antivirus terpasang atau menonaktifkannya, yang dapat mencegah mereka mendeteksi apakah perangkat mereka telah terinfeksi malware, menyebabkan kerusakan lebih lanjut.

Kesimpulan

Dalam panduan ini, kami telah menyoroti berbagai risiko yang terkait dengan klaim airdrop dengan menganalisis taktik penipuan umum. Airdrop adalah strategi pemasaran yang populer, tetapi pengguna dapat mengurangi risiko kehilangan aset selama proses dengan mengambil langkah-langkah berikut:

  • Periksa dengan Teliti: Selalu periksa URL ketika mengunjungi situs web airdrop. Konfirmasikan melalui akun resmi atau pengumuman, dan pertimbangkan untuk menginstal plugin deteksi risiko phishing seperti Scam Sniffer.

  • Gunakan Dompet Terpisah: Simpan hanya jumlah dana yang kecil di dompet yang digunakan untuk airdrop, sementara menyimpan jumlah yang lebih besar di dompet dingin.

  • Berhati-hatilah dengan Airdrop yang Tidak Dikenal: Jangan berinteraksi atau menyetujui transaksi yang melibatkan token airdrop dari sumber yang tidak dikenal.

  • Periksa Batasan Gas: Selalu tinjau batasan gas sebelum mengonfirmasi transaksi, terutama jika terlihat sangat tinggi.

  • Gunakan Perangkat Lunak Antivirus Terpercaya: Aktifkan perlindungan waktu nyata dan rutin perbarui perangkat lunak antivirus Anda untuk memastikan ancaman terbaru diblokir.

Penafian:

  1. Artikel ini diterjemahkan dari [SunSec], Semua hak cipta adalah milik penulis asli [SlowMist]. Jika ada keberatan terhadap cetakan ulang ini, harap hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
  2. Penafian Tanggung Jawab: Pandangan dan pendapat yang terdapat dalam artikel ini semata-mata merupakan pandangan penulis dan tidak merupakan saran investasi apa pun.
  3. Terjemahan artikel ke bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan sebaliknya, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang.

Bagikan

Konten

Latar Belakang

Apa itu Airdrop?

Risiko dalam Mengklaim Airdrops

Peralatan pintu belakang

Kesimpulan

Kalender Kripto

Peluncuran Produk AI NFT
Nuls akan meluncurkan produk NFT AI pada kuartal ketiga.
NULS
2.77%
2025-08-07
Peluncuran dValueChain v.1.0
Bio Protocol akan meluncurkan dValueChain v.1.0 pada kuartal pertama. Ini bertujuan untuk membangun jaringan data kesehatan terdesentralisasi, memastikan catatan medis yang aman, transparan, dan tidak dapat dirusak dalam ekosistem DeSci.
BIO
-2.47%
2025-08-07
Subtitel Video yang Dihasilkan AI
Verasity akan menambahkan fungsi subtitle video yang dihasilkan oleh AI pada kuartal keempat.
VRA
-1.44%
2025-08-07
Dukungan Multi-Bahasa VeraPlayer
Verasity akan menambahkan dukungan multi-bahasa ke VeraPlayer pada kuartal keempat.
VRA
-1.44%
2025-08-07
Eksekusi Beli/jual Otomatis
Linear akan menambahkan eksekusi beli/jual otomatis, memungkinkan trader untuk mengeksekusi perdagangan berdasarkan parameter yang telah ditentukan, meningkatkan efisiensi dan profitabilitas.
LINA
1.85%
2025-08-07

Artikel Terkait

Apa itu Tronscan dan Bagaimana Anda Dapat Menggunakannya pada Tahun 2025?
Pemula

Apa itu Tronscan dan Bagaimana Anda Dapat Menggunakannya pada Tahun 2025?

Tronscan adalah penjelajah blockchain yang melampaui dasar-dasar, menawarkan manajemen dompet, pelacakan token, wawasan kontrak pintar, dan partisipasi tata kelola. Pada tahun 2025, ia telah berkembang dengan fitur keamanan yang ditingkatkan, analitika yang diperluas, integrasi lintas rantai, dan pengalaman seluler yang ditingkatkan. Platform ini sekarang mencakup otentikasi biometrik tingkat lanjut, pemantauan transaksi real-time, dan dasbor DeFi yang komprehensif. Pengembang mendapatkan manfaat dari analisis kontrak pintar yang didukung AI dan lingkungan pengujian yang diperbaiki, sementara pengguna menikmati tampilan portofolio multi-rantai yang terpadu dan navigasi berbasis gerakan pada perangkat seluler.
11/22/2023, 6:27:42 PM
Analisis Teknis adalah apa?
Pemula

Analisis Teknis adalah apa?

Belajar dari masa lalu - Untuk menjelajahi hukum pergerakan harga dan kode kekayaan di pasar yang selalu berubah.
11/21/2022, 10:04:58 AM
Risiko yang Harus Anda Waspadai Saat Berdagang Kripto
Pemula

Risiko yang Harus Anda Waspadai Saat Berdagang Kripto

Apa yang Anda ketahui tentang risiko perdagangan cryptocurrency? Seiring berkembangnya banyak proyek mata uang kripto, ada semakin banyak risiko yang perlu dipertimbangkan, termasuk penipuan umum, peretasan, dan risiko peraturan.
11/21/2022, 10:15:01 AM
Top 20 Airdrop Kripto pada 2025
Pemula

Top 20 Airdrop Kripto pada 2025

Artikel ini memperlihatkan 20 proyek airdrop paling menjanjikan pada tahun 2025, menampilkan platform perdagangan Pump.fun, dompet lintas-rantai Phantom, dan ekosistem lintas-rantai Eclipse. Usaha-usaha ini mencakup sektor DeFi, NFT, dan AI—masing-masing didukung oleh pendanaan substansial. Melalui analisis mendetail tentang latar belakang proyek, putaran pendanaan, dan metode partisipasi, pembaca akan belajar bagaimana memaksimalkan manfaat potensial dari partisipasi airdrop secara dini. Pengalaman masa lalu menunjukkan bahwa terlibat dalam airdrop proyek berkualitas menawarkan akses dini ke teknologi canggih dan potensi imbalan keuangan.
2/17/2025, 10:52:38 AM
Panduan Pemula untuk Berdagang
Pemula

Panduan Pemula untuk Berdagang

Artikel ini membuka gerbang perdagangan mata uang kripto, menjelajahi area yang tidak diketahui, menjelaskan proyek kripto, dan memperingatkan pembaca tentang potensi risiko.
11/21/2022, 10:12:11 AM
Panduan Cara Berpindah Jaringan di MetaMask
Pemula

Panduan Cara Berpindah Jaringan di MetaMask

Ini adalah panduan sederhana langkah demi langkah tentang cara mengalihkan jaringan Anda di MetaMask.
1/11/2024, 10:37:30 AM
Mulai Sekarang
Daftar dan dapatkan Voucher
$100
!