Security ·

5 Penipuan Seed Phrase dan Cara Melindungi Diri Anda

Pencurian seed phrase adalah vektor serangan paling efektif dalam kripto. Berbeda dengan mengeksploitasi bug smart contract atau melakukan serangan 51%, mencuri seed phrase sederhana, dapat diskalakan, dan memberikan penyerang kendali penuh yang tidak dapat dibatalkan atas dana korban. Lima penipuan yang dijelaskan di sini mencakup sebagian besar insiden pencurian seed phrase. Memahami masing-masing, dan mengetahui cara bertahan, bukan pengetahuan opsional bagi siapa pun yang memegang kripto.

Setiap penipuan ini mengeksploitasi kesenjangan antara apa yang pengguna pikir sedang terjadi dan apa yang sebenarnya terjadi. Pertahanan dalam setiap kasus adalah verifikasi: mengetahui cara mengkonfirmasi bahwa alat yang Anda gunakan, situs yang Anda kunjungi, dan orang yang Anda ajak berinteraksi adalah seperti yang mereka klaim.

Penipuan 1: Generator Seed Phrase Palsu

Generator seed phrase palsu adalah situs web atau aplikasi yang dirancang terlihat seperti alat BIP39 yang sah sambil diam-diam merekam setiap seed phrase yang dihasilkan. Penyerang baik melakukan hard-code sekumpulan seed phrase (sehingga setiap pengguna mendapat frasa yang sudah diketahui penyerang) atau mengirimkan frasa yang dihasilkan ke server jarak jauh.

Cara Kerjanya

Penyerang membuat situs web yang terlihat profesional yang tampak menghasilkan seed phrase acak. Dalam versi paling sederhana, situs memilih dari daftar frasa yang sudah dihitung yang dikontrol penyerang. Dalam versi lebih canggih, alat menghasilkan frasa yang terlihat nyata menggunakan Web Crypto API tetapi secara bersamaan mengirim entropy atau frasa akhir ke server penyerang melalui permintaan jaringan tersembunyi.

Korban melihat frasa 12 atau 24 kata yang terlihat valid, membuat dompet, dan menyetor dana. Penyerang memantau alamat yang sesuai dan menguras dana, kadang segera, kadang menunggu sampai saldo mencapai ambang yang berharga.

Cara Melindungi Diri

  • Verifikasi alat bersifat client-side. Muat halaman, putuskan koneksi internet, dan buat frasa. Jika alat gagal tanpa koneksi, ia memerlukan komunikasi server dan tidak boleh dipercaya. Lihat Apakah Menggunakan Online Seed Phrase Generator Aman? untuk langkah verifikasi detail.
  • Periksa lalu lintas jaringan. Buka tab Network di Developer Tools browser sebelum membuat. Tidak boleh ada permintaan keluar yang aktif selama pembuatan.
  • Gunakan alat open-source. Hanya gunakan generator yang kode sumbernya dapat diaudit secara publik. Bitcoin Seed Phrase Generator dan Ethereum Seed Phrase Generator SafeSeed sepenuhnya open-source dan client-side.
  • Verifikasi silang hasil. Buat frasa dan periksa apakah menghasilkan alamat yang sama di dua atau lebih alat independen. Jika generator selalu menghasilkan frasa yang sama kapanpun atau di manapun Anda menggunakannya, ia menggunakan daftar tetap.

Penipuan 2: Situs Phishing Meniru Dompet Asli

Situs phishing mereplikasi antarmuka dompet populer seperti MetaMask, Phantom, atau antarmuka web dompet perangkat keras untuk menipu pengguna memasukkan seed phrase mereka yang sudah ada. Tujuan penyerang bukan menghasilkan frasa baru tetapi menangkap yang sudah Anda miliki.

Cara Kerjanya

Penyerang mendaftarkan domain yang mirip situs dompet yang sah: metamask-wallet.io alih-alih metamask.io, atau ledger-support.com alih-alih ledger.com. Mereka mengkloning desain visual situs asli dan menampilkan prompt yang meminta pengguna "memulihkan" atau "memverifikasi" dompet dengan memasukkan seed phrase.

Situs phishing ini didistribusikan melalui:

  • Iklan Google dan media sosial yang muncul untuk kueri pencarian terkait dompet
  • Kanal dukungan palsu di Telegram, Discord, dan X (Twitter)
  • Email yang mengklaim dompet Anda perlu "verifikasi" atau "pembaruan keamanan"
  • Halaman yang dioptimasi SEO yang masuk ranking untuk kueri seperti "pulihkan dompet MetaMask"

Setelah korban memasukkan seed phrase di halaman phishing, ia dikirim ke server penyerang. Penyerang mengimpor frasa ke dompet mereka sendiri dan menguras semua dana, biasanya dalam hitungan menit.

Cara Melindungi Diri

  • Jangan pernah memasukkan seed phrase di website manapun. Perangkat lunak dompet yang sah tidak akan pernah meminta Anda memasukkan seed phrase di browser. Pemulihan dompet terjadi di dalam aplikasi dompet itu sendiri, bukan di website.
  • Bookmark situs resmi. Akses antarmuka dompet hanya melalui bookmark yang Anda buat sendiri, tidak pernah melalui hasil pencarian atau tautan dalam pesan.
  • Verifikasi URL karakter per karakter. Domain phishing menggunakan substitusi karakter (huruf l kecil vs 1, rn vs m) dan kata tambahan untuk menipu.
  • Gunakan dompet perangkat keras untuk pemulihan. Jika Anda perlu memulihkan dompet, lakukan di perangkat keras itu sendiri atau di aplikasi desktop resmi yang diunduh dari situs terverifikasi pabrikan.

Penipuan 3: Kartu Dompet Pra-Generasi

Penipuan ini menargetkan pendatang baru kripto yang belum memahami cara kerja private key. Penyerang menjual atau memberikan kartu fisik, sering dicetak dan dikemas dengan indah, yang berisi seed phrase atau private key pra-generasi. Kartu terlihat seperti dompet kertas yang sah, lengkap dengan kode QR dan alamat publik.

Cara Kerjanya

Penyerang menghasilkan ribuan seed phrase, merekam semuanya, dan mencetaknya pada kartu yang terlihat profesional. Kartu-kartu ini dijual di marketplace, dibagikan di konferensi kripto, atau disertakan sebagai "hadiah" dalam pesanan online. Kartu menginstruksikan penerima untuk menyetor kripto ke alamat yang tercetak.

Korban, percaya mereka memiliki dompet kertas yang aman, mengirim dana ke alamat tersebut. Penyerang, yang memegang salinan seed phrase yang sama, menyapu dana saat nyaman.

Variasi penipuan ini melibatkan dompet "sudah diisi" yang dijual di pasar sekunder. Penjual mengklaim dompet berisi sejumlah kripto dan menjualnya dengan diskon. Pembeli menerima dompet perangkat keras atau dompet kertas, tetapi penjual menyimpan salinan seed phrase dan menguras dana setelah penjualan.

Cara Melindungi Diri

  • Selalu buat kunci Anda sendiri. Jangan pernah menggunakan seed phrase atau private key yang dibuat oleh orang lain. Satu-satunya kunci yang aman adalah yang Anda buat sendiri di perangkat yang Anda kontrol.
  • Pahami bahwa kunci adalah rahasia. Jika siapapun pernah melihat seed phrase Anda, Anda harus berasumsi mereka memiliki salinannya. Tidak ada cara untuk memverifikasi bahwa seseorang telah menghapus frasa yang pernah mereka ketahui.
  • Buat secara offline. Gunakan alat client-side SafeSeed atau generator tepercaya lain di mesin air-gapped untuk membuat kunci Anda dari awal.

Penipuan 4: Malware Clipboard

Malware clipboard, juga disebut "clipper," adalah jenis perangkat lunak berbahaya yang memantau clipboard Anda untuk data terkait kripto dan diam-diam menggantinya dengan data penyerang.

Cara Kerjanya

Varian paling umum memantau alamat Bitcoin atau Ethereum di clipboard. Ketika Anda menyalin alamat untuk mengirim pembayaran, malware menggantinya dengan alamat penyerang. Jika Anda menempel tanpa memverifikasi, dana Anda langsung pergi ke penyerang.

Varian lebih berbahaya menargetkan seed phrase. Jika Anda menyalin seed phrase (misalnya, saat mentransfernya antar aplikasi selama setup dompet), clipper menangkapnya dan mengirimnya ke penyerang. Beberapa varian mengganti seed phrase di clipboard dengan frasa berbeda yang dikontrol penyerang, menyebabkan Anda mencadangkan frasa yang sudah dikompromikan.

Clipper umumnya didistribusikan melalui:

  • Perangkat lunak bajakan dan aplikasi yang di-crack
  • Aplikasi dompet palsu di toko aplikasi tidak resmi
  • Ekstensi browser yang meminta izin clipboard
  • Versi trojan dari alat kripto yang sah

Cara Melindungi Diri

  • Jangan pernah menyalin seed phrase ke clipboard. Tulis tangan. Jika Anda harus mentransfernya secara digital, gunakan metode yang tidak melibatkan clipboard sistem.
  • Selalu verifikasi alamat yang ditempel. Sebelum mengkonfirmasi transaksi apapun, bandingkan beberapa karakter pertama dan terakhir alamat yang ditempel dengan alamat yang dimaksud. Gunakan validator alamat untuk mengkonfirmasi formatnya benar.
  • Gunakan hanya perangkat lunak terverifikasi. Unduh aplikasi dompet dan alat hanya dari sumber resmi. Hindari sepenuhnya perangkat lunak bajakan, terutama di mesin yang digunakan untuk kripto.
  • Jalankan antivirus terbaru. Meskipun tidak sempurna, perangkat lunak antivirus modern mendeteksi banyak clipper yang dikenal.
  • Periksa isi clipboard. Setelah menyalin alamat, tempel ke editor teks biasa untuk mengkonfirmasi ia cocok sebelum menggunakannya dalam transaksi.

Penipuan 5: Serangan Social Engineering

Social engineering adalah bentuk pencurian tertua, diadaptasi untuk era kripto. Penyerang memanipulasi Anda untuk secara sukarela mengungkapkan seed phrase atau melakukan tindakan yang mengkompromikan kunci Anda.

Cara Kerjanya

Social engineering di ruang kripto mengambil banyak bentuk:

Dukungan teknis palsu. Penyerang berpose sebagai staf dukungan untuk penyedia dompet, bursa, atau proyek blockchain. Mereka menghubungi melalui Telegram, Discord, atau X sebagai respons terhadap keluhan publik pengguna. Mereka mengklaim membutuhkan seed phrase Anda untuk "mendiagnosis" masalah atau "memverifikasi" identitas Anda. Tidak ada tim dukungan yang sah yang akan pernah meminta seed phrase Anda.

Umpan "dana terjebak". Penyerang secara publik memposting seed phrase (di media sosial, forum, atau grup chat) mengklaim mereka "tidak sengaja" membagikannya. Dompet terkait berisi dana yang terlihat. Ketika seseorang mengimpor frasa untuk mengklaim dana, mereka menemukan token berada di jaringan yang memerlukan biaya gas. Ketika mereka menyetor gas token, bot penyapu yang dikontrol penyerang segera menguras token yang disetor.

Mentor investasi. Penipu membangun hubungan (sering selama berminggu-minggu) melalui media sosial atau aplikasi kencan, akhirnya mengarahkan korban ke "peluang investasi khusus" yang memerlukan berbagi akses dompet atau menggunakan alat (berbahaya) tertentu.

Klaim airdrop. Pesan yang menawarkan airdrop token gratis yang mengharuskan Anda "menghubungkan dompet" ke dApp berbahaya, yang kemudian meminta izin untuk mentransfer dana Anda atau meminta Anda memasukkan seed phrase.

Cara Melindungi Diri

  • Perlakukan seed phrase Anda seperti kode peluncuran nuklir. Tidak ada layanan, tim dukungan, teman, atau anggota keluarga yang sah membutuhkan seed phrase Anda. Tidak pernah. Untuk alasan apapun.
  • Skeptis terhadap bantuan yang tidak diminta. Jika seseorang menghubungi Anda menawarkan bantuan kripto, terutama di media sosial atau platform pesan, asumsikan itu penipuan sampai terbukti sebaliknya.
  • Verifikasi identitas melalui saluran resmi. Jika Anda membutuhkan dukungan dari penyedia dompet atau bursa, navigasi ke situs web resmi mereka dan gunakan formulir dukungan atau chat yang tercantum di sana.
  • Pahami trik "dana terjebak". Jika Anda menemukan seed phrase yang dibagikan publik dengan dana, itu umpan. Token yang terlihat tidak dapat dipindahkan tanpa menyetor token lain, yang akan langsung dicuri.
  • Tinjau izin smart contract. Jika dApp meminta persetujuan token tanpa batas atau izin yang tidak sesuai dengan tujuan yang dinyatakan, tolak transaksi tersebut.

Cara Memverifikasi Alat Apapun yang Anda Gunakan

Pertahanan terhadap setiap penipuan di atas berkonvergensi pada satu keterampilan: verifikasi. Berikut pendekatan terkonsolidasi untuk mengevaluasi alat kripto apapun.

Transparansi Kode Sumber

Jika alat tidak open-source, Anda tidak dapat memverifikasi apa yang dilakukannya. Kode open-source bukan jaminan keamanan, tetapi alat closed-source memerlukan kepercayaan tanpa syarat. Prioritaskan alat open-source untuk operasi apapun yang melibatkan kunci atau seed phrase.

Operasi Client-Side

Untuk alat pembuatan kunci, verifikasi eksekusi client-side dengan memutuskan koneksi internet setelah memuat halaman. Jika alat bekerja offline, operasi kriptografinya berjalan di browser Anda melalui Web Crypto API. Ini adalah standar yang digunakan oleh SafeSeed dan generator terkemuka lainnya. Baca Apa Itu Entropy dalam Kripto? untuk memahami mengapa sumber entropy penting.

Perilaku Jaringan

Gunakan Developer Tools browser Anda untuk memantau semua permintaan jaringan. Selama operasi sensitif (pembuatan kunci, tampilan seed phrase, penandatanganan transaksi), seharusnya tidak ada permintaan keluar. Permintaan apapun, bahkan ke layanan analitik, adalah vektor potensial kebocoran data.

Verifikasi Domain dan Sertifikat

Sebelum memasukkan informasi apapun di website, verifikasi nama domain yang tepat dan pastikan HTTPS aktif. Gunakan bookmark untuk alat kripto yang sering diakses. Referensi silang domain dengan akun media sosial resmi proyek atau repositori GitHub.

Reputasi Komunitas

Periksa apakah alat telah ditinjau oleh peneliti keamanan independen. Cari laporan audit, diskusi di forum kripto terkemuka, dan sebutan di publikasi yang berfokus keamanan. Alat tanpa tinjauan eksternal dan tanpa kehadiran komunitas berisiko lebih tinggi.

Verifikasi Silang Hasil

Saat menggunakan generator seed phrase, verifikasi output dengan menurunkan alamat yang sama menggunakan alat tepercaya yang berbeda. Bitcoin Address Generator atau Ethereum Address Generator di SafeSeed dapat menjadi satu titik referensi. Jika dua alat independen menghasilkan alamat yang sama dari seed phrase yang sama, keduanya kemungkinan mengimplementasikan standar dengan benar.

Kekuatan terbesar ekosistem kripto, self-custody, juga merupakan kerentanan terbesarnya. Tidak ada departemen penipuan untuk dihubungi, tidak ada charge-back yang bisa diminta, dan tidak ada proses pemulihan setelah dana dicuri. Memahami lima penipuan ini dan membangun kebiasaan verifikasi adalah investasi paling berharga yang dapat Anda lakukan untuk keamanan kripto Anda. Untuk bacaan lebih lanjut tentang konsep keamanan kunci yang mendasar, lihat Praktik Terbaik Keamanan Private Key dan Seed Phrase vs Private Key.