Latar Belakang

Dalam terakhir kami Panduan Pemula Keamanan Web3, kami fokus pada serangan phishing yang melibatkan multi-tanda tangan, termasuk bagaimana multi-tanda tangan bekerja, penyebabnya, dan bagaimana mencegah dompet Anda dieksploitasi. Kali ini, kami akan membahas taktik pemasaran populer yang digunakan dalam industri tradisional dan ruang kripto: airdrop.

Airdrop adalah cara cepat bagi proyek-proyek untuk mendapatkan visibilitas dan membangun basis pengguna dengan cepat. Saat berpartisipasi dalam proyek Web3, pengguna diminta untuk mengklik tautan dan berinteraksi dengan tim untuk klaim token, namun para peretas telah menyiapkan perangkap di sepanjang proses tersebut. Mulai dari situs web palsu hingga alat jahat yang tersembunyi, risikonya nyata. Dalam panduan ini, kami akan membahas tipikal penipuan airdrop dan membantu Anda melindungi diri.

Apa itu Airdrop?

Airdrop adalah ketika proyek Web3 mendistribusikan token gratis ke alamat dompet tertentu untuk meningkatkan visibilitas dan menarik pengguna. Ini adalah cara yang langsung bagi proyek-proyek untuk mendapatkan perhatian. Airdrop dapat dikategorikan berdasarkan cara klaim:

• Berdasarkan Tugas: Selesaikan tugas-tugas tertentu seperti berbagi, menyukai, atau tindakan lainnya.
• Interaktif: Selesaikan tindakan seperti pertukaran token, pengiriman/penerimaan token, atau melakukan operasi cross-chain.
• Berdasarkan Pemegang: Tahan token tertentu untuk memenuhi syarat untuk airdrop.
• Berbasis Staking: Memasang token, menyediakan likuiditas, atau mengunci aset untuk jangka waktu tertentu untuk mendapatkan token airdrop.

Resiko Klaim Airdrop

Penipuan Airdrop Palsu

Berikut adalah beberapa jenis umum dari penipuan airdrop palsu:

1. Peretas mengambil alih akun resmi proyek untuk memposting pengumuman airdrop palsu. Kita sering melihat peringatan seperti “Akun X atau akun Discord dari proyek tertentu telah diretas. Tolong jangan klik pada tautan phishing yang diposting oleh peretas.” Menurut laporan SlowMist tahun 2024, ada 27 kasus akun proyek yang diretas hanya dalam setengah tahun pertama. Pengguna, percaya pada akun resmi, mengklik tautan-tautan ini dan dibawa ke situs phishing yang menyamar sebagai airdrop. Jika Anda memasukkan kunci pribadi atau frasa biji atau memberikan izin pada situs-situs ini, peretas dapat mencuri aset Anda.

1. Para peretas menggunakan salinan beresolusi tinggi dari akun tim proyek untuk memposting pesan palsu di bagian komentar akun proyek resmi, memikat pengguna untuk mengklik tautan phishing. Tim keamanan SlowMist sebelumnya menganalisis metode ini dan memberikan tindakan pencegahan (lihat Tim Proyek Palsu: Waspada Terhadap Phishing di Bagian Komentar Akun Imitasi). Selain itu, setelah proyek resmi mengumumkan airdrop, para hacker dengan cepat mengikuti dengan menggunakan akun palsu untuk memposting banyak pembaruan yang berisi tautan phishing di platform sosial. Banyak pengguna yang gagal mengidentifikasi akun palsu tersebut akhirnya menginstal aplikasi palsu atau membuka situs web phishing di mana mereka melakukan operasi otorisasi tanda tangan.

(https://x.com/im23pds/status/1765577919819362702)

1. Metode penipuan ketiga bahkan lebih buruk dan merupakan penipuan klasik. Penipu bersembunyi di dalam grup proyek Web3, memilih target pengguna, dan melakukan serangan rekayasa sosial. Kadang-kadang, mereka menggunakan airdrop sebagai umpan, “mengajari” pengguna cara mentransfer token untuk menerima airdrop. Pengguna harus tetap waspada dan tidak dengan mudah mempercayai siapa pun yang menghubungi mereka sebagai “layanan pelanggan resmi” atau mengklaim “mengajari” mereka cara mengoperasikan. Individu-individu ini kemungkinan besar adalah penipu. Anda mungkin berpikir bahwa Anda hanya mengklaim airdrop, tetapi akhirnya mengalami kerugian yang besar.

Token Airdrop “Gratis”: Memahami Risiko-risikonya

Airdrop umum terjadi di ruang kripto, di mana pengguna biasanya perlu menyelesaikan tugas tertentu untuk mendapatkan token gratis. Namun, ada praktik jahat yang memanfaatkan peluang ini. Misalnya, peretas dapat mengirimkan token airdrop tanpa nilai sebenarnya ke dompet pengguna. Pengguna ini kemudian dapat mencoba berinteraksi dengan token-token ini - mentransfernya, memeriksa nilainya, atau bahkan memperdagangkannya di bursa terdesentralisasi. Namun, setelah merancang ulang kontrak Scam NFT, kami menemukan bahwa upaya untuk mentransfer atau mencantumkan NFT gagal, dan pesan kesalahan muncul: "Kunjungi situs web untuk membuka item Anda," yang menyesatkan pengguna untuk mengunjungi situs phishing.

Jika pengguna terjebak dan mengunjungi situs phishing ini, para hacker dapat melakukan beberapa tindakan berbahaya:

• Pembelian massal NFT berharga melalui mekanisme "tanpa biaya" (lihat "Phishing NFT Tanpa Biaya"untuk lebih detail).
• Mencuri persetujuan token bernilai tinggi atau izin tanda tangan.
• Mencuri aset asli dari dompet pengguna.

Selanjutnya, mari kita lihat bagaimana para peretas menggunakan kontrak jahat yang dibuat dengan hati-hati untuk mencuri biaya Gas pengguna. Pertama, peretas membuat kontrak jahat bernama GPT (0x513C285CD76884acC377a63DC63A4e83D7D21fb5) di BSC, menggunakan token yang didapat secara cuma-cuma untuk menarik pengguna berinteraksi dengannya. Ketika pengguna berinteraksi dengan kontrak jahat ini, muncul permintaan untuk menyetujui kontrak tersebut untuk menggunakan token di dompet pengguna. Jika pengguna menyetujui permintaan ini, kontrak jahat secara otomatis meningkatkan batas Gas berdasarkan saldo dompet pengguna, sehingga transaksi selanjutnya akan menghabiskan lebih banyak biaya Gas.

Dengan menggunakan batas Gas tinggi yang disediakan oleh pengguna, kontrak jahat menggunakan Gas tambahan untuk mencetak token CHI (token CHI dapat digunakan sebagai kompensasi Gas). Setelah mengumpulkan sejumlah besar token CHI, peretas dapat membakar token ini untuk menerima kompensasi Gas ketika kontrak dihancurkan.

(https://x.com/SlowMist_Team/status/1640614440294035456)

Dengan metode ini, hacker dengan cerdik mendapatkan keuntungan dari biaya Gas pengguna, dan pengguna mungkin bahkan tidak menyadari bahwa mereka telah membayar biaya Gas tambahan. Awalnya, pengguna mengira mereka dapat menghasilkan keuntungan dengan menjual token yang dijatuhkan tetapi malah kehilangan aset asli mereka.

Alat-alat Backdoored

(https://x.com/evilcos/status/1593525621992599552)

Dalam proses mengklaim airdrop, beberapa pengguna perlu mengunduh plugin untuk menerjemahkan atau mencari kelangkaan token, di antara fungsi lainnya. Keamanan plugin-plugin ini diragukan, dan beberapa pengguna mengunduhnya dari sumber-sumber tidak resmi, meningkatkan risiko mengunduh plugin yang telah dibobol.

Selain itu, kami telah memperhatikan layanan online yang menjual skrip airdrop yang mengklaim untuk mengotomatisasi interaksi dalam jumlah besar. Meskipun ini terdengar efisien, pengguna harus berhati-hati karena mengunduh skrip yang tidak terverifikasi sangat berisiko. Anda tidak dapat yakin dengan sumber atau fungsionalitas sebenarnya dari skrip tersebut. Skrip tersebut mungkin mengandung kode berbahaya, berpotensi mengancam untuk mencuri kunci pribadi atau frasa biji atau melakukan tindakan tidak sah lainnya. Selain itu, beberapa pengguna menjalankan operasi berisiko seperti itu tanpa perangkat lunak antivirus, yang dapat menyebabkan infeksi Trojan yang tidak terdeteksi, menyebabkan kerusakan pada perangkat mereka.

Ringkasan

Panduan ini terutama menjelaskan risiko yang terkait dengan klaim airdrop dengan menganalisis penipuan. Banyak proyek sekarang menggunakan airdrop sebagai alat pemasaran. Pengguna dapat mengambil langkah-langkah berikut untuk mengurangi risiko kerugian aset selama klaim airdrop:

• Multi-Verifikasi: Saat mengunjungi situs web airdrop, periksa dengan cermat URL-nya. Konfirmasikan melalui akun proyek resmi atau saluran pengumuman. Anda juga dapat menginstal plugin pemblokiran risiko phishing (seperti Scam Sniffer) untuk membantu mengidentifikasi situs web phishing.
• Pemisahan Dompet: Gunakan dompet dengan dana kecil untuk klaim airdrop, dan simpan jumlah besar di dompet dingin.
• Berhati-hatilah dengan Token yang Dikirimkan: Hati-hati dengan token yang dikirimkan oleh sumber yang tidak dikenal. Hindari memberi izin atau menandatangani transaksi dengan tergesa-gesa.
• Periksa Batas Gas: Perhatikan apakah batas Gas untuk transaksi terlalu tinggi.
• Gunakan Perangkat Lunak Antivirus: Gunakan perangkat lunak antivirus yang terkenal (seperti Kaspersky, AVG, dll.) untuk mengaktifkan perlindungan waktu nyata dan memastikan definisi virus tetap terbaru.

Disclaimer:

1. Artikel ini dicetak ulang dari Teknologi SlowMist, hak cipta milik penulis asli [Tim Keamanan SlowMist]. Jika ada keberatan terhadap pengutipan ini, silakan hubungi Gate Belajartim, dan mereka akan menanganinya dengan segera.
2. Penolakan Tanggung Jawab: Pandangan dan opini yang terdapat dalam artikel ini semata-mata merupakan pendapat penulis dan tidak merupakan saran investasi apa pun.
3. Tim Pemelajaran Gate menerjemahkan artikel ke dalam bahasa lain. Menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan dilarang kecuali disebutkan.