Crypto phishing adalah kategori luas serangan rekayasa sosial yang menargetkan pengguna mata uang kripto — dirancang untuk mencuri dana dengan menipu korban agar mengungkapkan seed phrase atau private key, atau menandatangani transaksi yang memberikan penyerang kendali atas aset wallet, di mana tidak seperti eksploitasi smart contract yang menyerang kode protokol, serangan phishing menargetkan lapisan manusia: perhatian, kepercayaan, dan urgensi.
Jenis-Jenis Serangan
Approval Phishing (Wallet Drainer)
Vektor dominan sejak 2022. Korban mengunjungi situs berbahaya atau yang dikompromikan yang meminta mereka untuk menandatangani tanda tangan permit() atau setApprovalForAll(). Tanda tangan ini — sering disamarkan sebagai verifikasi wallet rutin atau klaim airdrop — memberikan hak pengeluaran tak terbatas kepada alamat penyerang atas satu atau lebih jenis token dalam wallet korban.
Tidak diperlukan gas on-chain dari korban — penyerang menggabungkan pengosongan dalam satu transaksi setelahnya.
Toolkit Drainer-as-a-Service (Inferno Drainer, Pink Drainer) dijual di Telegram — penyerang membayar 20–30% dana yang dicuri kepada operator toolkit.
Phishing Situs Palsu
Versi palsu platform populer — MetaMask, Ledger Live, Coinbase, website exchange — dirancang untuk mencuri seed phrase atau menipu pengguna agar menghubungkan wallet. Paling sering didistribusikan melalui iklan berbayar Google/Bing, domain lookalike, dan ekstensi browser palsu.
Kompromi Discord dan Media Sosial
Server Discord proyek adalah infrastruktur phishing bernilai tinggi. Penyerang mengkompromikan akun admin atau bot untuk memposting pengumuman mint palsu dengan tautan berbahaya — membawa legitimasi visual saluran resmi.
Contoh terkenal: BAYC Discord hack (2022) — Discord resmi memposting tautan mint palsu, ~200 ETH dicuri.
Address Poisoning
Penyerang mengirim transaksi bernilai nol dari alamat wallet yang sangat mirip dengan alamat yang sering berinteraksi dengan korban (4–6 karakter pertama dan terakhir sama). Ketika korban menyalin transaksi terakhirnya untuk mengirim dana, mereka menyalin alamat poisoning.
Ekstraksi Seed Phrase
- Dukungan pelanggan palsu: Menyamar sebagai dukungan MetaMask, Ledger, atau exchange melalui DM Twitter/Telegram.
- Ekstensi browser berbahaya: Tampak seperti utilitas sah yang mengambil clipboard atau keystroke.
- Recovery scam: Setelah pengguna tweet tentang kehilangan dana, penipu masuk mengklaim bisa “memulihkan” kripto.
Sejarah
- 2018–2020 — Phishing exchange awal: Situs palsu Binance/Coinbase mendominasi.**
- 2021–2022 — Era phishing NFT: Serangkaian kompromi Discord menyerang komunitas BAYC, Moonbirds, dan lainnya.**
- 2022–2023 — Kebangkitan wallet drainer: Toolkit approval phishing otomatis menyebar; ribuan pengguna kehilangan dana.**
- 2023 — Ledger Connect Kit dikompromikan: Serangan rantai pasokan menyuntikkan wallet drainer ke beberapa dApp sekaligus.**
Kesalahpahaman Umum
“Saya aman karena saya tidak pernah mengeklik tautan mencurigakan.”
Banyak serangan phishing terjadi melalui saluran resmi yang dikompromikan — Discord proyek yang diverifikasi, postingan Twitter terverifikasi, bahkan perpustakaan JavaScript resmi. Kewaspadaan yang konstan diperlukan, bukan hanya menghindari yang “mencurigakan.”
“Menandatangani pesan tidak berisiko.”
Tanda tangan permit off-chain adalah sepenuhnya berbahaya seperti transaksi on-chain. Satu tanda tangan permit() dapat memberikan penyerang kemampuan untuk menguras seluruh saldo token kamu.
Perlindungan
- Gunakan dompet seperti Rabby yang mendekode dan menampilkan apa yang sebenarnya kamu tandatangani.
- Selalu verifikasi URL di bilah alamat browser.
- Cabut approval token yang tidak digunakan secara rutin melalui revoke.cash atau Etherscan Token Approvals.
- Jangan pernah masukkan seed phrase ke situs atau formulir apa pun.
Kritik
- Exchange dan wallet kurang proaktif dalam edukasi: Sebagian besar phishing berhasil karena pengguna tidak teredukasi tentang risiko. Wallet dan exchange bisa melakukan lebih banyak untuk memperingatkan pengguna tentang skenario phishing sebelum mereka menjadi korban.
- Infrastruktur kripto memperburuk situasi: Sifat irreversible transaksi blockchain membuat phishing lebih berbahaya dibanding dunia keuangan tradisional — tidak ada chargeback atau pemulihan transaksi. Bank tradisional menawarkan perlindungan yang tidak tersedia di kripto.
Sentimen Media Sosial
- r/CryptoCurrency / r/Bitcoin: Laporan phishing sering diposting sebagai peringatan komunitas. “NEVER share your seed phrase” adalah pesan yang diulang terus-menerus. Teknik phishing baru (address poisoning, wallet drainer) mendapat thread edukasi panjang.
- X/Twitter: Phishing akun X adalah vector serangan utama — akun resmi proyek yang terkompromi digunakan untuk menyebarkan link phishing. ZachXBT dan investigator on-chain lain secara aktif mendokumentasikan dan memperingatkan tentang kampanye phishing aktif.
- Telegram (komunitas kripto Indonesia): Phishing adalah salah satu topik keamanan paling sering dibahas di komunitas kripto Indonesia — banyak anggota komunitas pernah mengalami atau mengenal korban phishing. Admin grup kripto Indonesia sering memperingatkan tentang serangan impersonasi dan link palsu.
Terakhir diperbarui: 2026-04
Istilah Terkait
Lihat Juga
- Mengapa Audit Smart Contract Gagal: Apa yang Post-Mortem Ungkapkan
- Bagaimana Bridge Kripto Bekerja — Dan Mengapa Selalu Jadi Target Hacker
- Tukar kripto dengan ChangeNOW
Sumber
- Chainalysis — Crypto Phishing Report — data dan analisis tentang volume dan metode phishing kripto terbaru.
- MetaMask — Security Best Practices — panduan keamanan resmi MetaMask tentang pencegahan phishing.
- BSSN (Badan Siber dan Sandi Negara) — badan keamanan siber Indonesia yang menerbitkan peringatan tentang ancaman siber termasuk phishing kripto.