Penggali Web3: cara kerjanya dan mengapa tanda tangan Anda adalah kunci utama untuk pencurian

Setiap hari di Web3 terjadi ribuan pencurian, dan sebagian besar korban bahkan tidak menyadari bagaimana hal itu terjadi. Drainer bukanlah fenomena baru, tetapi semakin canggih. Ini adalah kontrak pintar berbahaya yang mendapatkan akses ke dana Anda bukan melalui phishing atau pencurian kunci pribadi, tetapi melalui tanda tangan sederhana yang Anda berikan, dengan asumsi bahwa Anda menyetujui transaksi yang tidak berbahaya.

Banyak orang berpikir bahwa jika mereka tidak memasukkan seed phrase mereka, mereka aman. Itu adalah kesalahan. Drainer bekerja dengan cara yang berbeda — tampil meyakinkan dan menyembunyikan aksinya di balik aktivitas biasa di dompet.

Apa itu drainer dan bagaimana dia mencuri dana Anda

Drainer adalah kontrak pintar yang menyamar sebagai operasi biasa. Ketika Anda menekan “Tanda Tangan” atau “Setujui”, Anda memberi izin kepadanya untuk melakukan tindakan atas nama Anda. Masalahnya, Anda sering tidak melihat detail apa yang sebenarnya Anda tanda tangani dalam transaksi.

Satu klik berarti akses penuh. Dan ini tidak bisa dibatalkan hanya dengan “menarik izin” — drainer bisa terus bekerja selama Anda memiliki cukup ETH untuk biaya transaksi.

Metode licik: empat cara drainer mengosongkan dompet Anda

Serangan terjadi melalui berbagai skenario. Pertama — “persetujuan tanpa batas”, di mana Anda diberi akses tak terbatas ke token Anda seolah-olah untuk pertukaran. Drainer mendapatkan hak penuh dan bisa mengambil apa saja yang dia mau.

Kedua — “transfer tersembunyi”. Anda merasa sedang berpartisipasi dalam farming atau swap, tetapi sebenarnya Anda menandatangani izin untuk menarik dana tanpa konfirmasi eksplisit untuk setiap operasi.

Ketiga — menyamar sebagai “pembuatan NFT”. Drainer meniru proses minting, tetapi sebenarnya mengosongkan saldo Anda.

Keempat — “verifikasi dompet palsu”. Anda diminta menandatangani pesan untuk verifikasi, tetapi sebenarnya ini adalah panggilan tersembunyi yang memberi akses ke aset Anda.

Cara menghindari menjadi korban: aturan keamanan praktis

Jangan pernah menandatangani transaksi jika Anda benar-benar tidak memahami isinya. Periksa detail setiap operasi, terutama nilai “spender” dan “amount” di bagian persetujuan.

Jangan percaya situs web dan tautan yang tidak tercantum di Twitter resmi proyek, Discord, atau whitepaper mereka. Drainer sering menyebar melalui akun media sosial palsu dan saluran Discord palsu.

Selalu pastikan bahwa Anda benar-benar melakukan operasi pertukaran atau pengiriman — bukan memberi akses tanpa batas. Tahap “Periksa Transaksi” bukan formalitas, tetapi perlindungan Anda.

Jangan simpan semua dana dalam satu dompet. Gunakan dompet terpisah hanya untuk farming dan eksperimen dengan protokol baru. Dengan begitu, meskipun drainer berhasil mengompromikan dompet tersebut, dana utama Anda tetap aman.

Alat perlindungan: dari Revoke.cash hingga dompet perangkat keras

Revoke.cash adalah layanan gratis yang memungkinkan Anda membatalkan persetujuan lama dan langsung menghentikan aktivitas drainer. Periksa apakah Anda memiliki izin aktif untuk menghabiskan token yang sudah lama Anda berikan.

Wallet Guard dan ekstensi browser lainnya menyediakan perlindungan waktu nyata, memperingatkan tentang kontrak mencurigakan sebelum Anda menandatanganinya.

Dompet perangkat keras (Ledger, Trezor) memerlukan konfirmasi fisik untuk setiap transaksi di perangkat, sehingga drainer tidak bisa secara otomatis mengosongkan dompet Anda tanpa sepengetahuan Anda.

Tanda tangan Anda di Web3 bukan sekadar klik mouse. Itu adalah kunci yang membuka akses ke cryptocurrency dan NFT Anda. Setiap kali Anda memberi izin untuk operasi, Anda memberi kekuasaan kepada orang lain atas dana Anda. Hati-hati. Periksa. Dan ingat: satu klik yang salah bisa berharga mahal.