Mengenali penipuan kripto

Di perbankan biasa, penipu umumnya harus mencuri sesuatu lebih dulu, entah kartu, login, atau kode Anda. Di kripto ada satu kategori penipuan yang sama sekali tidak butuh itu. Pelaku cukup membuat Anda menandatangani sebuah transaksi. Anda sendiri yang menekan konfirmasi, lalu dana berpindah ke alamat mereka. Tidak ada bank yang akan membatalkan. Tidak ada tim support yang bisa mengembalikan. Self-custody yang membuat seluruh kategori ini menjadi mungkin.

Kabar baiknya, hampir semua penipuan ini hanya memakai segelintir pola. Begitu Anda terbiasa mengenalinya, variasi-variasinya jadi mudah dibaca. Pelajaran ini membahas pola-pola yang paling sering muncul, beserta cara menahan diri sebentar sebelum tanda tangan.

Wallet drainer

Drainer adalah smart contract jahat yang dirancang menyerupai transaksi sah (swap, claim, atau mint), tapi diam-diam mengirim seluruh token atau NFT Anda ke alamat pelaku begitu Anda tanda tangan. Biasanya jebakan ini muncul setelah Anda menghubungkan dompet ke sebuah situs jahat.

Alurnya selalu mirip:

Menghubungkan dompet saja tidak memindahkan dana apa pun. Kerugian baru terjadi saat Anda tanda tangan. Di situlah saatnya berhenti sejenak. Selalu. Sekalipun semua langkah sebelumnya kelihatan normal.

Token approval: drainer yang bekerja perlahan

Di sebagian besar blockchain, sebelum sebuah kontrak boleh memindahkan token Anda, Anda perlu memberinya "approval" atau "allowance". Hampir semua aksi DeFi yang sah melibatkan minimal satu approval (swap di DEX, deposit di lending pool, dan seterusnya). Itu hal yang lumrah dan memang dibutuhkan.

Sayangnya ini juga celah serangan yang sudah dikenal lama. Kontrak jahat bisa meminta approval "tak terbatas" pada satu token tertentu. Kalau Anda berikan, kontrak itu bebas memindahkan semua token jenis tersebut kapan pun mereka mau, bahkan berbulan-bulan setelahnya. Tanda tangan cuma sekali. Kurasnya bisa kapan saja, sesuai pilihan mereka.

• Perhatikan baik-baik saat dompet meminta approval pada sebuah token. Baca token apa dan kontrak mana yang disetujui.
• Selagi memungkinkan, setujui hanya sebesar jumlah yang memang Anda butuhkan untuk transaksi itu, bukan "tak terbatas".
• Secara berkala pakai alat seperti revoke.cash atau halaman approval bawaan dompet untuk mencabut approval lama yang sudah tidak diperlukan.
• Curigai halaman "claim airdrop" atau "mint NFT" yang meminta approval untuk token yang sudah Anda miliki.

Airdrop palsu dan jebakan token gratis

Sesekali Anda akan melihat token muncul tiba-tiba di dompet, dengan nama seperti "Kunjungi X.com untuk klaim $5000". Tokennya sendiri palsu. Begitu Anda buka situs untuk "klaim", Anda mendarat tepat di wallet drainer.

Anda juga mungkin menemui airdrop yang kedengarannya sah, dipromosikan di Discord, Twitter, atau Telegram. Proyek asli memang kadang membagikan airdrop asli. Penipu menumpang momen itu dengan membangun situs mirip persis di URL yang berbeda sedikit. Begitu airdrop diumumkan, dalam hitungan jam puluhan tiruan jahat sudah bermunculan.

• Jangan pernah klik link "klaim" dari token yang tiba-tiba nyangkut di dompet. Anggap token itu tidak bernilai dan link-nya sebagai jebakan.
• Untuk airdrop asli, cari link-nya di dokumentasi resmi proyek atau pinned post, bukan dari DM, bukan dari iklan.
• Ketik URL secara manual atau pakai bookmark yang sudah terverifikasi. Situs phishing kerap memakai domain yang bedanya cuma satu huruf.
• Kalau toh airdrop asli "terlewat", Anda tidak benar-benar kehilangan apa-apa. Mundur dari kesempatan itu tidak ada biayanya.

Support palsu, giveaway palsu

Ini versi kripto dari penipuan yang dibahas di pelajaran sebelumnya. Ada orang yang DM lewat Discord mengaku "dari tim proyek" dan menawarkan bantuan untuk masalah Anda. Ada yang membalas tweet Anda mengaku "dari akun support Coinbase" dan minta Anda memverifikasi dompet. Akun yang dibuat menyerupai selebriti tiba-tiba mengumumkan giveaway "gandakan ETH Anda".

Aturannya sama persis seperti di pelajaran penipuan umum. Tim asli hampir tidak pernah DM duluan. Support asli tidak pernah butuh frasa pemulihan atau tanda tangan transaksi dari Anda. Giveaway yang menggandakan uang itu tidak ada. Bedanya di kripto cuma satu, yaitu penipuannya kini berakhir dengan tanda tangan dompet, bukan transfer bank.

Membaca apa yang akan Anda tandatangani

Setiap dompet menampilkan sesuatu sebelum Anda tanda tangan. Kualitas info itu bervariasi. Dompet versi lama hanya menampilkan "Konfirmasi transaksi" dengan sebuah hash. Dompet yang lebih baru dan perangkat hardware berusaha menerjemahkan transaksi ke bahasa yang bisa dipahami manusia, misalnya "Anda mengirim 0,5 ETH ke alamat X" atau "Anda memberi izin Kontrak Y untuk membelanjakan hingga 1.000.000 USDC".

Beberapa kebiasaan kecil membuat hal ini terasa praktis:

• Pakai dompet yang menampilkan alamat tujuan dan perubahan saldo Anda. Rabby, MetaMask versi baru, dan layar sebagian besar hardware wallet sudah seperti ini.
• Kalau dompet menampilkan peringatan tentang kontrak atau alamat tujuan, jangan diklik begitu saja. Berhenti dulu dan cek.
• Kalau memakai hardware wallet, baca detailnya di layar perangkat, bukan cuma di situs. Perangkat itu satu-satunya bagian dalam rantai yang tidak bisa dibohongi oleh malware.
• Kalau transaksinya meminta approval untuk token yang sebenarnya tidak ingin Anda izinkan, itu sinyal untuk mundur.

Rug pull dan batas dari due diligence

Rug pull terjadi ketika orang-orang di balik token baru diam-diam menguras isi proyeknya (likuiditas, treasury, kadang dua-duanya) lalu menghilang. Harga token langsung anjlok ke nol. Para pembeli ditinggalkan dengan koin yang tidak ada nilainya.

Rug pull sebenarnya bukan penipuan dompet. Itu investasi buruk yang dikemas seolah-olah peluang. Pertahanannya lebih pada apa yang Anda pilih untuk dibeli, bukan bagaimana Anda menandatanganinya. Berikut daftar singkat yang biasanya membantu:

• Bersikap skeptis pada token baru yang timnya anonim dan menjanjikan imbal hasil yang sangat tinggi.
• Lihat seberapa terkonsentrasi pasokan tokennya. Bila mayoritas supply dipegang beberapa dompet saja, itu risiko besar.
• Cek likuiditasnya. Kalau likuiditas sangat tipis, penjualan kecil pun bisa menghancurkan harga.
• Sadari bahwa sebagian besar token baru akan gagal. Anggap uang yang Anda taruh di sana sebagai uang yang mungkin tidak akan kembali.

Tidak ada saringan sempurna untuk rug pull. Pertahanan paling kuat adalah position sizing, yaitu jangan pernah menaruh lebih banyak ke satu token spekulatif daripada yang siap Anda relakan hilang sepenuhnya.

Checklist singkat sebelum tanda tangan

Saat popup dompet muncul dan meminta tanda tangan, coba lewati daftar ini di kepala Anda:

• Bagaimana saya bisa sampai di halaman ini? Saya ketik sendiri URL-nya atau saya ikuti sebuah link?
• Apakah popup dompet menampilkan yang saya harapkan, misalnya swap, mint, atau approval?
• Alamat atau kontrak mana yang jadi tujuan? Apakah cocok dengan proyek yang saya kira sedang saya gunakan?
• Apakah ini sebuah approval? Kalau ya, token apa dan berapa jumlahnya?
• Apakah ada bagian yang berbunyi "transaksi ini memiliki perilaku tidak biasa" atau memunculkan peringatan? Kalau ada, kenapa?

Kalau ada sesuatu yang terasa janggal, tutup saja popup-nya. Tidak ada transaksi kripto yang wajib Anda tanda tangan dalam sepuluh detik ke depan. Peluang yang benar-benar nyata akan tetap ada sepuluh menit kemudian.

Di kripto, penipuan yang paling mahal adalah yang Anda tanda tangani sendiri. Pertahanan termurahnya adalah membaca popup dengan teliti sebelum menekan konfirmasi.

Pelajaran terakhir merangkum semuanya menjadi satu rutinitas keamanan sederhana yang benar-benar bisa Anda jalankan secara berkala, lengkap dengan pemeriksaan konkret untuk mingguan, bulanan, dan tahunan.