Apa Itu Penguras Dompet? Bagaimana Cara Kerja Penguras Kripto?
Anda tidak perlu menyerahkan frasa sandi Anda untuk kehilangan segalanya. Dengan penguras dompet, Anda kehilangan semuanya hanya dengan mengklik "setujui". Bayangkan sebuah situs menarik yang menawarkan airdrop gratis. Anda menghubungkan dompet Anda, kotak tanda tangan muncul, Anda mengetuk konfirmasi karena itulah yang diminta setiap dApp, dan beberapa detik kemudian kripto dan NFT Anda hilang. Tidak ada kata sandi yang dicuri. Tidak ada perangkat yang diretas. Anda sendiri yang mengotorisasi pencurian tersebut, biasanya dengan tanda tangan yang tidak memerlukan biaya gas dan tampak sepenuhnya tidak berbahaya. Itulah seluruh triknya, dan itu berhasil dengan cukup baik untuk mencuri $494 juta hanya pada tahun 2024.
Panduan ini menguraikan apa itu penguras dompet, momen tepat terjadinya pencurian, bagaimana para penjahat mengubahnya menjadi layanan berbayar, berapa banyak yang mereka ambil, dan dua kebiasaan yang menghentikan hampir semua dari mereka.
Apa Itu Penguras Dompet dan Mengapa Cara Kerjanya
Penguras dompet bukanlah malware yang diam-diam berada di komputer Anda. Ini adalah kontrak pintar atau skrip berbahaya, salah satu dApp berbahaya yang kini merajalela di Web3, yang menyamar sebagai aplikasi yang ramah, yang menipu Anda untuk memberikan akses, lalu menguras aset Anda seketika itu juga. Penguras dompet hampir seluruhnya beroperasi di bidang keuangan terdesentralisasi, atau DeFi — di mana uang berpindah berdasarkan tanda tangan, bukan login, dan mata uang kripto Anda serta aset kripto lainnya adalah target mereka. Penguras dompet tidak pernah menebak kunci pribadi Anda dan tidak pernah merusak kriptografi apa pun. Ia hanya membuat Anda menandatangani transaksi atau persetujuan yang memberikan izin kepada kontrak pintar orang asing untuk mengakses dana Anda.
Setelah izin tersebut ada, sisanya akan otomatis. Pelaku akan membaca dompet Anda untuk menemukan token, NFT, dan aset digital Anda yang paling berharga, membangun transfer, dan memindahkan semuanya ke alamat yang dikendalikan penyerang, seringkali dalam satu blok. Karena permintaan tersebut datang dalam bentuk tindakan Web3 biasa, sebagian besar korban tidak menyadari apa yang terjadi sampai dompet mereka sudah kosong. Bahayanya bukanlah virus. Bahayanya adalah izin yang Anda berikan tanpa membacanya terlebih dahulu.
Bagaimana Penguras Dompet Mengosongkan Dompet Anda
Setiap jebakan mengikuti alur yang sama: umpan, tanda pengenal, sapuan. Langkah tengah adalah tempat uang hilang, dan langkah inilah yang hampir tidak diperhatikan oleh siapa pun secara saksama.
Umpan
Pertama-tama, Anda harus terjebak. Penipu menyebarkan airdrop palsu, pencetakan NFT, dan klaim token palsu, lalu mempromosikannya dengan gencar. Mereka membajak akun terverifikasi di X dan memposting tautan dari akun media sosial curian, mereka menyebarkan pesan di Telegram dan Discord, dan mereka membeli iklan pencarian bersponsor sehingga situs palsu muncul di atas situs asli. Tawaran mereka selalu menekankan urgensi, jumlah pencetakan yang terbatas, atau klaim yang akan kedaluwarsa, karena rekayasa sosial bekerja paling baik ketika Anda tidak punya waktu untuk berpikir. Tidak seperti phishing jadul yang mencari kata sandi atau kredensial login, penipuan "drainer" sama sekali tidak membutuhkan rahasia Anda. Penipuan ini hanya perlu mengelabui pengguna untuk melakukan satu tindakan: menghubungkan dompet mereka ke situs palsu dan menyetujui satu permintaan. Persyaratan yang lebih rendah inilah yang menyebabkan penipuan "drainer" menyebar begitu cepat, dan mengapa bahkan orang yang berhati-hati pun terjebak dalam situasi yang terburu-buru. Klik tautan dan Anda akan sampai ke situs tiruan yang terlihat persis seperti proyek yang Anda percayai, meminta Anda untuk menghubungkan dompet Anda.
Jebakan adalah ciri khasnya.
Inilah bagian yang penting. Saat Anda menyetujui, Anda tidak "masuk" — Anda menandatangani izin khusus, dan beberapa di antaranya sangat berbahaya. `approve()` ERC-20 dapat memberikan izin tak terbatas, memungkinkan kontrak untuk menggunakan token tersebut selamanya. `setApprovalForAll` memberikan semua NFT dalam koleksi sekaligus. Yang paling berbahaya adalah tanda tangan Permit atau Permit2 offline. Tidak memerlukan biaya gas. Muncul sebagai pesan biasa, bukan transaksi. Dan tetap mengotorisasi transfer. Itulah jebakan yang paling sering dimasuki orang: menurut analisis SlowMist , tanda tangan bergaya Permit membentuk 56,7% dari persetujuan phishing pada tahun 2024, justru karena terlihat seperti tidak ada apa-apa. Penyerang juga mengikuti pembaruan, menyalahgunakan panggilan yang tidak jelas seperti `setOwner` dan, tepat setelah rilis Pectra Ethereum, delegasi EIP-7702 yang baru.
Saluran pembuangan
Begitu Anda menandatangani, pelaku pengurasan dompet memiliki semua yang dibutuhkannya, dan tidak ada konfirmasi kedua untuk menyelamatkan Anda. Tujuannya sederhana dan brutal: mencuri dana sebelum Anda bereaksi. Ia sudah memetakan aset Anda, jadi ia langsung menjalankan transfer dan token Anda keluar dalam satu blok. Transaksi blockchain bersifat final. Tidak perlu menghubungi bank, tidak ada biaya yang perlu dibatalkan. Pada saat airdrop "gagal dimuat," transfer yang tidak sah tersebut telah diselesaikan di blockchain.
| Apa yang diminta untuk Anda tandatangani | Seperti apa menurut Anda | Apa yang sebenarnya diberikannya |
|---|---|---|
| ERC-20 `approve()` | Persetujuan token rutin | Penggunaan token tersebut tidak terbatas. |
| `setApprovalForAll` | "Setujui pengumpulan" | Kendali atas setiap NFT di dalamnya |
| Izin / Izin2 | Pesan tanda tangan tanpa gas | Hak transfer tanpa jejak di blockchain hingga digunakan. |
| `setOwner` / EIP-7702 | Sebuah perintah yang tidak familiar | Kepemilikan atau pendelegasian akun Anda |
Drainer-as-a-Service (DaaS): Kejahatan dengan Dasbor
Serangan drainer tidak berkembang karena penyerang menjadi lebih pintar. Serangan itu berkembang karena seseorang mengubah alat tersebut menjadi produk dan, dengan itu, mengubah pencurian dompet menjadi kejahatan siber terorganisir dengan daftar harga yang dipublikasikan.
Bagaimana cara kerja DaaS?
Dalam model Drainer-as-a-Service, seorang pengembang membangun dan memelihara perangkat penguras dompet dan menyewakannya kepada siapa pun yang ingin menjalankan kampanye melawan dompet mata uang kripto. Afiliasi, yang seringkali merupakan pelaku ancaman dengan keterampilan rendah, menangani phishing. Perangkat tersebut menangani pencurian. Mereka membagi hasil curian, dan pembagiannya hampir sama persis dengan modus operandi ransomware: pengembang menyimpan sekitar 20% dari semua yang dicuri, afiliasi menyimpan 80% sisanya. Dengan bagian tersebut, pembeli mendapatkan halaman phishing siap pakai, dasbor kontrol, alat anonimitas, dan, ya, dukungan pelanggan yang nyata. Seorang remaja yang tidak dapat menulis satu baris kode pun dapat menjalankan operasi profesional pada saat makan siang.
Inferno, Pink, dan pintu putar
Modus operandi utama menunjukkan skalanya. Inferno Drainer beroperasi dari akhir tahun 2022 hingga akhir tahun 2023 dan mencuri sekitar $87 juta dari lebih dari 137.000 korban, tersebar di lebih dari 16.000 domain phishing yang memalsukan setidaknya 100 merek kripto. Pink Drainer meraup sekitar $85 juta sebelum operatornya mengumumkan mereka berhenti. Perhatikan polanya. Satu kelompok pensiun, penjahat siber beralih ke modus operandi berikutnya, dan Inferno sendiri kembali dalam bentuk yang "diperbarui". Membunuh satu operator tidak membunuh pasar — pasar adalah layanan, bukan penipu.
Berapa Banyak Uang yang Dicuri oleh Pencuri Dompet?
Jumlah totalnya sangat besar, fluktuatif, dan mudah disalahartikan. Satu kampanye pengurasan dompet kripto dapat mengambil lebih banyak dalam satu transaksi daripada peretasan bursa kripto secara penuh, dan angka tahunannya berfluktuasi.
Sumber yang paling jelas, Scam Sniffer , menghitungnya tahun demi tahun. Kerugian mencapai sekitar $295 juta pada tahun 2023 dari 324.000 korban, melonjak 67% menjadi $494 juta pada tahun 2024, kemudian turun tajam menjadi sekitar $84 juta pada tahun 2025. Penurunan itu tampak seperti kemenangan. Padahal tidak. Hal itu sebagian besar mencerminkan aktivitas on-chain yang lebih tenang dan pergantian kit, dan awal 2026 sudah menunjukkan lonjakan bulanan yang tajam. Kerugian terbesar yang tercatat adalah $55,47 juta dalam DAI dari satu korban pada tahun 2024. Di mana pun totalnya, kripto yang dicuri keluar dengan cara yang sama: dicuci melalui mixer dan bursa terdesentralisasi dalam hitungan menit, itulah sebabnya hampir tidak ada yang kembali.
| Tahun | Dicuri oleh petugas kebersihan | Para korban |
|---|---|---|
| Tahun 2023 | $295,5 juta | 324.000+ |
| Tahun 2024 | $494 juta | 332.000 |
| Tahun 2025 | $83,85 juta | 106.106 |
Dan para korbannya bukan semuanya pemula. Mark Cuban kehilangan sekitar $900.000 karena penipuan. Bahkan salah satu pendiri Ethereum, Vitalik Buterin, akun X-nya diretas untuk menyebarkan program mata uang palsu yang menguras sekitar $700.000 dari para pengikutnya. Jika hal itu sampai kepada mereka, alasan "Saya tidak akan pernah tertipu" menjadi lebih tipis dari yang terlihat.
Tanda-Tanda Peringatan Penguras Dompet
Tanda-tanda penipu yang menguras dompet hampir semuanya berpusat pada satu tuntutan: tanda tangani ini, sekarang juga. Saat Anda melihat tanda-tanda tersebut, kurangi kecepatan.
Waspadai permintaan yang meminta alokasi token tak terbatas padahal yang Anda inginkan hanyalah satu pembelian. Lebih waspada lagi terhadap permintaan tanda tangan yang tidak membebankan biaya gas dan menampilkan pesan yang tidak dapat Anda baca sepenuhnya. Itu adalah taktik klasik penguras gas tanpa biaya. Anggap "klaim sekarang," "jumlah terbatas," dan hitungan mundur sebagai taktik tekanan, bukan keberuntungan. Jangan percaya tautan apa pun yang masuk ke DM atau grup Telegram. Jangan pernah mengakses dApp melalui iklan pencarian bersponsor, di mana penipu secara rutin menawar lebih tinggi daripada proyek asli untuk posisi teratas. Dan selalu periksa domain yang tepat, karena domain yang mirip dengan satu huruf yang ditukar adalah taktik tertua dalam buku panduan situs penipuan, dan masih merupakan taktik yang berhasil.
Cara Melindungi Dompet Anda dari Penipuan
Anda tidak perlu melacak setiap celah keamanan baru. Dua kebiasaan membosankan saja sudah cukup untuk memblokir hampir semua penipuan.
Gunakan dompet perangkat keras dan dompet sekali pakai.
Simpan sebagian besar kripto Anda di dompet perangkat keras. Kunci tetap offline, dan setiap transaksi membutuhkan sentuhan fisik pada perangkat, sehingga situs jahat tidak dapat memindahkan apa pun tanpa perangkat keras di tangan Anda. Kemudian buat dompet "cadangan" kedua yang hampir kosong untuk pencetakan, airdrop, dan dApp apa pun yang tidak Anda kenal. Jika dompet cadangan tersebut habis, Anda hanya kehilangan uang makan siang, bukan tabungan Anda. Menghubungkan dompet utama Anda ke situs Web3 acak adalah satu kebiasaan yang membuat kejahatan ini tetap menguntungkan.
Baca setiap tanda tangan dan batalkan tanda tangan yang lama.
Kebiasaan kedua adalah membaca apa yang Anda tanda tangani. Dompet modern dan alat simulasi menjelaskan apa yang diberikan oleh tanda tangan sebelum Anda mengkonfirmasinya. Gunakanlah, dan jangan pernah menandatangani pesan yang tidak dapat Anda pahami tanpa berpikir panjang. Kemudian, bersihkan dan cabut persetujuan yang tidak lagi Anda butuhkan. Alat pencabutan menunjukkan setiap kontrak yang masih dapat menggunakan token Anda dan memungkinkan Anda untuk membatalkan kontrak yang Anda lupakan, menutup celah yang dapat dimanfaatkan penyerang beberapa bulan kemudian. Jika sebuah situs tampak asing, lihat kontraknya di penjelajah blok terlebih dahulu, karena kontrak baru tanpa riwayat adalah jebakan klasik. Persetujuan tak terbatas yang Anda klik pada tahun 2021? Masih berlaku sampai Anda menonaktifkannya.
Apa yang Harus Dilakukan Jika Dompet Anda Terkuras Habis
Jika itu terjadi, kecepatan adalah segalanya. Lakukan secara berurutan. Segera pindahkan apa pun yang belum diambil penyerang ke dompet baru yang aman, karena mereka sering kali kembali untuk mengambil sisanya. Kemudian cabut semua persetujuan pada alamat yang disusupi sehingga tidak ada izin yang tersisa yang dapat digunakan kembali. Perlakukan dompet tersebut sebagai dompet yang telah dibakar dan hentikan penggunaannya selamanya. Dokumentasikan hash transaksi dan laporkan alamat tersebut ke layanan seperti Chainabuse atau Scam Sniffer, yang memetakan infrastruktur ini. Dan jujurlah pada diri sendiri tentang pemulihan. Transfer on-chain bersifat final dan dana yang dicuri jarang kembali, jadi kemenangan sebenarnya adalah menghentikan kerugian dengan cepat.
Pencuri Dompet Membutuhkan Tanda Tangan Anda, Bukan Kunci Anda
Singkirkan dasbor dan nama-nama kit, dan penguras dompet hanya memiliki satu senjata: tanda tangan yang Anda setujui. Ia tidak dapat mengambil kunci pribadi Anda, tidak dapat memutus rantai, dan tidak dapat memindahkan satu sen pun sampai Anda mengklik konfirmasi. Itu juga kabar baiknya — penghitungnya sama sederhananya. Simpan sebagian besar di penyimpanan dingin, perlakukan setiap permintaan "hubungkan dompet" sebagai orang asing yang meminta kunci Anda, dan baca izinnya sebelum Anda menandatanganinya. Lakukan itu dan industri bernilai miliaran dolar akan langsung menabrak tembok di layar Anda. Jadi, lain kali pencetak uang gratis meminta Anda untuk menandatangani, tanyakan pada diri Anda satu-satunya pertanyaan yang penting: apa sebenarnya yang saya otorisasi?
