Pelaku jahat yang menargetkan aset kripto terus menggunakan berbagai taktik untuk mencuri dana pengguna, termasuk pencurian kunci pribadi, penambangan kontrak pintar, serangan manipulasi harga, dan banyak metode lainnya.

Dalam beberapa tahun terakhir, para penipu semakin beralih ke alat “pengering kripto”. Alat-alat ini telah memengaruhi banyak pengguna mata uang kripto, termasuk selebritas seperti Mark Cuban dan Seth Green. Beberapa alat “pengering kripto” telah mencuri jutaan dolar dari para korban.

Apa itu Penguras Kripto?

Crypto drainer adalah alat phishing yang dirancang untuk ekosistem web3. Alih-alih mencuri nama pengguna dan sandi korban, operator alat ini sering menyamar sebagai proyek web3, memikat korban untuk menghubungkan dompet mata uang kripto mereka ke “drainer” dan mengumpulkan proposal transaksi penelusuran yang memungkinkan operator mengontrol dana di dompet. Jika berhasil, alat tersebut bisa langsung mencuri dana pengguna dengan segera. Operator sering mempromosikan situs web3 palsu mereka di komunitas Discord dan akun media sosial yang dibajak.

Contoh “drainer” yang berpura-pura menjadi Komisi Sekuritas dan Bursa AS (SEC), ditemukan oleh Chainalysis pada Januari 2024 tak lama setelah akun Twitter/X resmi SEC diambil alih. Alat tersebut mendorong pengguna untuk menghubungkan dompet mereka untuk menerima token palsu melalui airdrop.

Efek dari penguras kripto

Sulit untuk melacak jumlah total uang yang dicuri oleh alat “pengering”, karena banyak penipuan tidak dilaporkan. Namun, dimungkinkan untuk menganalisis aktivitas alat ini yang awalnya dilaporkan oleh pelanggan Chainalysis, sebagai skema phishing dan aktivitas serupa yang disimpan dalam database.

Seperti yang kita lihat di bawah, pertumbuhan nilai yang dicuri oleh alat “drainer” setiap triwulan bahkan melebihi nilai yang dicuri oleh ransomware, sebuah kategori kejahatan yang diidentifikasi berkembang pesat terutama dalam beberapa tahun terakhir.

Setelah mencuri aset digital dari dompet korban, penjahat yang mengoperasikan alat “pengering” sering kali menggunakan berbagai layanan mata uang kripto untuk mencuci dana atau mungkin mengubahnya menjadi uang tunai. Pada grafik berikutnya, kita melihat bahwa jumlah yang dikirim oleh alat “drainer” ke layanan pencampuran koin untuk mencapai tujuan ini telah meningkat sejak tahun 2021, sementara jumlah yang dikirim ke bursa Transaksi terpusat mengalami penurunan. Beberapa mesin “drainer” juga menggunakan layanan perjudian, meskipun dalam skala yang lebih kecil.

Selain itu, pada tahun 2022 dan 2023, alat “drainer” mengirimkan sebagian besar dana curiannya ke berbagai proyek DeFi seperti bursa terdesentralisasi, jembatan, dan layanan swap — alasannya adalah karena semua aset yang dicuri oleh alat “drainer” mudah dan praktis untuk ditransfer. di DeFi, tidak seperti Bitcoin.

Penguras kripto pertama Bitcoin

Saat ini, sebagian besar alat “drainer” beroperasi dalam ekosistem Ethereum. Namun, Chainalysis baru-baru ini mengidentifikasi “penguras” yang tidak biasa pada blockchain Bitcoin. Operator alat tersebut membuat situs web yang berpura-pura menjadi Magic Eden, platform NFT utama untuk Bitcoin Ordinals. Pada April 2024, alat ini telah mencuri sekitar 500.000 USD di lebih dari 1.000 transaksi berbahaya.

Meskipun Bitcoin tidak digunakan secara luas seperti aset lain untuk layanan web3, ada beberapa alat “pengering” Bitcoin lainnya yang mengeksploitasi komunitas perdagangan Ordinals.

Bagaimana menghindari penguras kripto

Ketika penjahat yang mengoperasikan alat “drainer” menjadi lebih canggih, maka akan menjadi semakin penting bagi proyek web3 dan pengguna untuk menerapkan berbagai langkah keamanan untuk melindungi dari aktivitas jahat.

• Ekstensi keamanan Web3 seperti Wallet Guard dapat mengidentifikasi halaman dan situs phishing, serta menilai risiko keamanan yang terkait dengan dompet kripto.

• Pengguna dapat meminimalkan paparan mereka terhadap alat “drainer” dengan menggunakan dompet offline untuk menyimpan aset berharga atau bervolume besar, dan hanya mentransfer dana ke hot wallet bila diperlukan.

• Peserta ekosistem harus mewaspadai tautan yang dipromosikan di ruang obrolan atau jejaring sosial, yang mungkin tidak terkait dengan akun resmi proyek.

• Jika pengguna dompet pribadi perlu terhubung ke situs web web3 yang tidak dikenal, mereka dapat membuat dompet sementara yang tidak berisi aset apa pun dan menghubungkannya ke situs web.

• Jika aset korban dicuri oleh “penguras”, korban dapat membatalkan transaksi yang belum selesai.