Dalam panduan sebelumnya tentang keamanan Web3, kami membahas topik phishing multisig, membahasmekanisme dompet multisig, bagaimana penyerang mengeksploitasi mereka, dan bagaimana cara menjaga dompet Anda dari tanda tangan jahat. Dalam bagian ini, kami akan membahas taktik pemasaran yang banyak digunakan dalam industri tradisional dan crypto - airdrop.
Airdrop dapat dengan cepat mendorong sebuah proyek dari ketidakdikenalan menjadi sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Biasanya, pengguna berpartisipasi dalam proyek Web3 dengan mengklik tautan dan berinteraksi dengan proyek untuk klaim token yang di-drop. Namun, mulai dari situs web palsu hingga alat yang disisipi pintu belakang, para peretas telah membuat jebakan di sepanjang proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan-jebakan ini.
Airdrop terjadi ketika proyek Web3 mendistribusikan token gratis ke alamat dompet tertentu untuk meningkatkan visibilitasnya dan menarik pengguna awal. Ini adalah salah satu metode yang paling langsung bagi proyek untuk mendapatkan basis pengguna. Airdrop umumnya dapat dikategorikan menjadi jenis-jenis berikut berdasarkan cara mereka diklaim:
Berdasarkan Tugas: Menyelesaikan tugas yang ditentukan oleh proyek, seperti berbagi konten atau menyukai postingan.
Berdasarkan Interaksi: Melakukan tindakan seperti pertukaran token, mengirim/menerima token, atau operasi lintas-rantai.
Berbasis Holding: Menahan token tertentu dari proyek untuk memenuhi syarat airdrop.
Staking-Based: Menerima token yang di-drop melalui staking aset tunggal atau ganda, menyediakan likuiditas, atau mengunci token dalam jangka panjang.
Penipuan ini dapat dibagi menjadi beberapa jenis:
Token Airdrop “Gratis”
Sementara sebagian besar airdrop memerlukan pengguna untuk menyelesaikan tugas, ada beberapa kasus di mana token muncul di dompet Anda tanpa tindakan dari pihak Anda. Para peretas seringkali mengirimkan token tak berharga ke dompet Anda, dengan harapan Anda akan berinteraksi dengan token tersebut dengan mentransfer, melihat, atau mencoba untuk memperdagangkannya di bursa terdesentralisasi. Namun, ketika mencoba untuk berinteraksi dengan NFT Scam ini, Anda mungkin akan menemui pesan kesalahan yang meminta Anda untuk mengunjungi situs web untuk “membuka kunci item Anda.” Ini adalah perangkap yang mengarah ke situs phishing.
Jika seorang pengguna mengunjungi situs web phishing yang ditautkan oleh Scam NFT, peretas dapat melakukan tindakan-tindakan berikut:
Lakukan pembelian "tanpa biaya" NFT berharga (lihat analisis phising NFT "pembelian tanpa biaya").
Mencuri token bernilai tinggi melalui otorisasi Approve atau tanda tangan Permit.
Ambil aset asli.
Selanjutnya, mari kita tinjau bagaimana para peretas dapat mencuri biaya gas pengguna melalui kontrak jahat yang dirancang dengan cermat.
Pertama, hacker membuat kontrak jahat bernama GPT di Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) dan memikat pengguna untuk berinteraksi dengannya dengan cara airdrop token.
Ketika pengguna berinteraksi dengan kontrak jahat ini, mereka diminta untuk menyetujui penggunaan token kontrak di dompet mereka. Jika pengguna menyetujui permintaan ini, kontrak jahat secara otomatis meningkatkan batas gas berdasarkan saldo dompet pengguna, yang mengakibatkan konsumsi gas yang lebih tinggi dalam transaksi berikutnya.
Dengan memanfaatkan batas gas yang tinggi yang disediakan oleh pengguna, kontrak jahat menggunakan gas berlebih untuk mencetak token CHI (token CHI dapat digunakan untuk kompensasi gas). Setelah mengumpulkan sejumlah besar token CHI, peretas dapat membakar token ini untuk menerima pengembalian gas saat kontrak dihancurkan.
https://x.com/SlowMist_Team/status/1640614440294035456
Melalui metode ini, para peretas dengan cerdik mendapatkan keuntungan dari biaya gas pengguna, sementara pengguna mungkin tidak menyadari bahwa mereka telah membayar biaya gas tambahan. Pengguna awalnya berharap untuk mendapatkan keuntungan dari penjualan token yang di-drop tetapi malah kehilangan aset asli mereka.
https://x.com/evilcos/status/1593525621992599552
Selama proses klaim airdrop, beberapa pengguna perlu mengunduh plugin untuk tugas seperti terjemahan atau memeriksa kelangkaan token. Namun, keamanan plugin ini dipertanyakan, dan beberapa pengguna tidak mengunduhnya dari sumber resmi, meningkatkan risiko mengunduh plugin dengan backdoor.
Selain itu, kami telah memperhatikan layanan online yang menjual skrip untuk mengklaim airdrop, yang mengklaim untuk mengotomatisasi interaksi berkelompok dengan efisien. Namun, harap diketahui bahwa mengunduh dan menjalankan skrip yang tidak terverifikasi dan tidak ditinjau sangat berisiko, karena Anda tidak dapat yakin dengan sumber skrip atau fungsi sebenarnya. Skrip ini mungkin mengandung kode berbahaya, menyebabkan ancaman potensial seperti pencurian kunci pribadi atau frasa benih, atau melakukan tindakan tidak sah lainnya. Selain itu, beberapa pengguna, ketika melakukan operasi berisiko seperti ini, entah tidak memiliki perangkat lunak antivirus terpasang atau menonaktifkannya, yang dapat mencegah mereka mendeteksi apakah perangkat mereka telah terinfeksi malware, menyebabkan kerusakan lebih lanjut.
Dalam panduan ini, kami telah menyoroti berbagai risiko yang terkait dengan klaim airdrop dengan menganalisis taktik penipuan umum. Airdrop adalah strategi pemasaran yang populer, tetapi pengguna dapat mengurangi risiko kehilangan aset selama proses dengan mengambil langkah-langkah berikut:
Periksa dengan Teliti: Selalu periksa URL ketika mengunjungi situs web airdrop. Konfirmasikan melalui akun resmi atau pengumuman, dan pertimbangkan untuk menginstal plugin deteksi risiko phishing seperti Scam Sniffer.
Gunakan Dompet Terpisah: Simpan hanya jumlah dana yang kecil di dompet yang digunakan untuk airdrop, sementara menyimpan jumlah yang lebih besar di dompet dingin.
Berhati-hatilah dengan Airdrop yang Tidak Dikenal: Jangan berinteraksi atau menyetujui transaksi yang melibatkan token airdrop dari sumber yang tidak dikenal.
Periksa Batasan Gas: Selalu tinjau batasan gas sebelum mengonfirmasi transaksi, terutama jika terlihat sangat tinggi.
Gunakan Perangkat Lunak Antivirus Terpercaya: Aktifkan perlindungan waktu nyata dan rutin perbarui perangkat lunak antivirus Anda untuk memastikan ancaman terbaru diblokir.
Dalam panduan sebelumnya tentang keamanan Web3, kami membahas topik phishing multisig, membahasmekanisme dompet multisig, bagaimana penyerang mengeksploitasi mereka, dan bagaimana cara menjaga dompet Anda dari tanda tangan jahat. Dalam bagian ini, kami akan membahas taktik pemasaran yang banyak digunakan dalam industri tradisional dan crypto - airdrop.
Airdrop dapat dengan cepat mendorong sebuah proyek dari ketidakdikenalan menjadi sorotan, membantu membangun basis pengguna dengan cepat dan meningkatkan visibilitas pasar. Biasanya, pengguna berpartisipasi dalam proyek Web3 dengan mengklik tautan dan berinteraksi dengan proyek untuk klaim token yang di-drop. Namun, mulai dari situs web palsu hingga alat yang disisipi pintu belakang, para peretas telah membuat jebakan di sepanjang proses airdrop. Panduan ini akan menganalisis penipuan airdrop umum untuk membantu Anda menghindari jebakan-jebakan ini.
Airdrop terjadi ketika proyek Web3 mendistribusikan token gratis ke alamat dompet tertentu untuk meningkatkan visibilitasnya dan menarik pengguna awal. Ini adalah salah satu metode yang paling langsung bagi proyek untuk mendapatkan basis pengguna. Airdrop umumnya dapat dikategorikan menjadi jenis-jenis berikut berdasarkan cara mereka diklaim:
Berdasarkan Tugas: Menyelesaikan tugas yang ditentukan oleh proyek, seperti berbagi konten atau menyukai postingan.
Berdasarkan Interaksi: Melakukan tindakan seperti pertukaran token, mengirim/menerima token, atau operasi lintas-rantai.
Berbasis Holding: Menahan token tertentu dari proyek untuk memenuhi syarat airdrop.
Staking-Based: Menerima token yang di-drop melalui staking aset tunggal atau ganda, menyediakan likuiditas, atau mengunci token dalam jangka panjang.
Penipuan ini dapat dibagi menjadi beberapa jenis:
Token Airdrop “Gratis”
Sementara sebagian besar airdrop memerlukan pengguna untuk menyelesaikan tugas, ada beberapa kasus di mana token muncul di dompet Anda tanpa tindakan dari pihak Anda. Para peretas seringkali mengirimkan token tak berharga ke dompet Anda, dengan harapan Anda akan berinteraksi dengan token tersebut dengan mentransfer, melihat, atau mencoba untuk memperdagangkannya di bursa terdesentralisasi. Namun, ketika mencoba untuk berinteraksi dengan NFT Scam ini, Anda mungkin akan menemui pesan kesalahan yang meminta Anda untuk mengunjungi situs web untuk “membuka kunci item Anda.” Ini adalah perangkap yang mengarah ke situs phishing.
Jika seorang pengguna mengunjungi situs web phishing yang ditautkan oleh Scam NFT, peretas dapat melakukan tindakan-tindakan berikut:
Lakukan pembelian "tanpa biaya" NFT berharga (lihat analisis phising NFT "pembelian tanpa biaya").
Mencuri token bernilai tinggi melalui otorisasi Approve atau tanda tangan Permit.
Ambil aset asli.
Selanjutnya, mari kita tinjau bagaimana para peretas dapat mencuri biaya gas pengguna melalui kontrak jahat yang dirancang dengan cermat.
Pertama, hacker membuat kontrak jahat bernama GPT di Binance Smart Chain (BSC) (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) dan memikat pengguna untuk berinteraksi dengannya dengan cara airdrop token.
Ketika pengguna berinteraksi dengan kontrak jahat ini, mereka diminta untuk menyetujui penggunaan token kontrak di dompet mereka. Jika pengguna menyetujui permintaan ini, kontrak jahat secara otomatis meningkatkan batas gas berdasarkan saldo dompet pengguna, yang mengakibatkan konsumsi gas yang lebih tinggi dalam transaksi berikutnya.
Dengan memanfaatkan batas gas yang tinggi yang disediakan oleh pengguna, kontrak jahat menggunakan gas berlebih untuk mencetak token CHI (token CHI dapat digunakan untuk kompensasi gas). Setelah mengumpulkan sejumlah besar token CHI, peretas dapat membakar token ini untuk menerima pengembalian gas saat kontrak dihancurkan.
https://x.com/SlowMist_Team/status/1640614440294035456
Melalui metode ini, para peretas dengan cerdik mendapatkan keuntungan dari biaya gas pengguna, sementara pengguna mungkin tidak menyadari bahwa mereka telah membayar biaya gas tambahan. Pengguna awalnya berharap untuk mendapatkan keuntungan dari penjualan token yang di-drop tetapi malah kehilangan aset asli mereka.
https://x.com/evilcos/status/1593525621992599552
Selama proses klaim airdrop, beberapa pengguna perlu mengunduh plugin untuk tugas seperti terjemahan atau memeriksa kelangkaan token. Namun, keamanan plugin ini dipertanyakan, dan beberapa pengguna tidak mengunduhnya dari sumber resmi, meningkatkan risiko mengunduh plugin dengan backdoor.
Selain itu, kami telah memperhatikan layanan online yang menjual skrip untuk mengklaim airdrop, yang mengklaim untuk mengotomatisasi interaksi berkelompok dengan efisien. Namun, harap diketahui bahwa mengunduh dan menjalankan skrip yang tidak terverifikasi dan tidak ditinjau sangat berisiko, karena Anda tidak dapat yakin dengan sumber skrip atau fungsi sebenarnya. Skrip ini mungkin mengandung kode berbahaya, menyebabkan ancaman potensial seperti pencurian kunci pribadi atau frasa benih, atau melakukan tindakan tidak sah lainnya. Selain itu, beberapa pengguna, ketika melakukan operasi berisiko seperti ini, entah tidak memiliki perangkat lunak antivirus terpasang atau menonaktifkannya, yang dapat mencegah mereka mendeteksi apakah perangkat mereka telah terinfeksi malware, menyebabkan kerusakan lebih lanjut.
Dalam panduan ini, kami telah menyoroti berbagai risiko yang terkait dengan klaim airdrop dengan menganalisis taktik penipuan umum. Airdrop adalah strategi pemasaran yang populer, tetapi pengguna dapat mengurangi risiko kehilangan aset selama proses dengan mengambil langkah-langkah berikut:
Periksa dengan Teliti: Selalu periksa URL ketika mengunjungi situs web airdrop. Konfirmasikan melalui akun resmi atau pengumuman, dan pertimbangkan untuk menginstal plugin deteksi risiko phishing seperti Scam Sniffer.
Gunakan Dompet Terpisah: Simpan hanya jumlah dana yang kecil di dompet yang digunakan untuk airdrop, sementara menyimpan jumlah yang lebih besar di dompet dingin.
Berhati-hatilah dengan Airdrop yang Tidak Dikenal: Jangan berinteraksi atau menyetujui transaksi yang melibatkan token airdrop dari sumber yang tidak dikenal.
Periksa Batasan Gas: Selalu tinjau batasan gas sebelum mengonfirmasi transaksi, terutama jika terlihat sangat tinggi.
Gunakan Perangkat Lunak Antivirus Terpercaya: Aktifkan perlindungan waktu nyata dan rutin perbarui perangkat lunak antivirus Anda untuk memastikan ancaman terbaru diblokir.