Keamanan Ethereum dan pencegahan penipuan

Meningkatnya minat pada mata uang kripto membawa serta risiko yang berkembang dari penipu dan peretas. Artikel ini menjabarkan beberapa praktik terbaik untuk memitigasi risiko ini.

Ingat: Tidak ada seorang pun dari ethereum.org yang akan pernah menghubungi Anda. Jangan membalas email yang mengatakan bahwa mereka dari dukungan resmi Ethereum.

Dasar-dasar keamanan kripto

Tingkatkan pengetahuan Anda

Kesalahpahaman tentang cara kerja kripto dapat menyebabkan kesalahan yang merugikan. Misalnya, jika seseorang berpura-pura menjadi agen layanan pelanggan yang dapat mengembalikan ETH yang hilang dengan imbalan kunci pribadi Anda, mereka memangsa orang-orang yang tidak memahami bahwa Ethereum adalah jaringan desentralisasi yang tidak memiliki fungsionalitas semacam ini. Mengedukasi diri Anda sendiri tentang cara kerja Ethereum adalah investasi yang berharga.

Apa itu Ethereum?

Apa itu ether?

Keamanan dompet

Jangan pernah membagikan frasa pemulihan Anda

Jangan pernah, dengan alasan apa pun, membagikan frasa pemulihan atau kunci pribadi Anda!

Frasa pemulihan Anda (juga disebut frasa pemulihan rahasia atau frasa seed) adalah kunci utama ke dompet Anda. Siapa pun yang memilikinya dapat mengakses semua akun Anda dan menguras setiap aset. Kunci pribadi bekerja dengan cara yang sama untuk akun individu. Tidak ada layanan, agen dukungan, atau situs web yang sah yang akan pernah meminta ini dari Anda.

Apa itu dompet Ethereum?

Jangan mengambil tangkapan layar dari frasa seed/kunci pribadi Anda

Mengambil tangkapan layar dari frasa seed atau kunci pribadi Anda mungkin menyinkronkannya ke penyedia data cloud, yang dapat membuatnya dapat diakses oleh peretas. Mendapatkan kunci pribadi dari cloud adalah vektor serangan yang umum bagi peretas.

Gunakan dompet perangkat keras

Dompet perangkat keras menyediakan penyimpanan luring untuk kunci pribadi. Mereka dianggap sebagai opsi dompet paling aman untuk menyimpan kunci pribadi Anda: kunci pribadi Anda tidak pernah menyentuh internet dan tetap sepenuhnya lokal di perangkat Anda.

Menyimpan kunci pribadi secara luring secara masif mengurangi risiko diretas, bahkan jika peretas mendapatkan kendali atas komputer Anda.

Coba dompet perangkat keras:

Periksa kembali transaksi sebelum mengirim

Secara tidak sengaja mengirim kripto ke alamat dompet yang salah adalah kesalahan umum. Sebuah transaksi yang dikirim di Ethereum tidak dapat diubah. Kecuali Anda mengetahui pemilik alamat dan dapat meyakinkan mereka untuk mengirimkan kembali dana Anda, Anda tidak akan dapat mengambil kembali dana Anda.

Selalu pastikan alamat yang Anda tuju sama persis dengan alamat penerima yang diinginkan sebelum mengirim transaksi. Merupakan praktik yang baik saat berinteraksi dengan kontrak pintar untuk membaca pesan transaksi sebelum menandatangani.

Tetapkan batas pengeluaran kontrak pintar

Saat berinteraksi dengan kontrak pintar, jangan izinkan batas pengeluaran tak terbatas. Pengeluaran tak terbatas dapat memungkinkan kontrak pintar untuk menguras dompet Anda. Sebaliknya, tetapkan batas pengeluaran hanya pada jumlah yang diperlukan untuk transaksi.

Banyak dompet Ethereum menawarkan perlindungan batas untuk menjaga agar akun tidak terkuras.

Cara mencabut akses kontrak pintar ke dana kripto Anda

Penipuan umum

Tidak mungkin untuk menghentikan penipu sepenuhnya, tetapi kita dapat membuat mereka kurang efektif dengan menyadari teknik yang paling sering mereka gunakan. Ada banyak variasi dari penipuan ini, tetapi mereka umumnya mengikuti pola tingkat tinggi yang sama. Jika tidak ada yang lain, ingatlah:

selalu bersikap skeptis
tidak ada yang akan memberi Anda ETH gratis atau dengan diskon
tidak ada yang membutuhkan akses ke kunci pribadi atau informasi pribadi Anda

Phishing iklan Twitter

Ada metode untuk memalsukan fitur pratinjau tautan Twitter (juga dikenal sebagai X) (unfurling) untuk berpotensi menipu pengguna agar berpikir bahwa mereka mengunjungi situs web yang sah. Teknik ini mengeksploitasi mekanisme Twitter untuk menghasilkan pratinjau URL yang dibagikan dalam tweet, dan menampilkan dari ethereum.org misalnya (ditunjukkan di atas), padahal sebenarnya mereka dialihkan ke situs berbahaya.

Selalu periksa bahwa Anda berada di domain yang benar, terutama setelah mengeklik tautan.

Informasi lebih lanjut di sini (opens in a new tab).

Penipuan giveaway

Salah satu penipuan paling umum dalam mata uang kripto adalah penipuan giveaway. Penipuan giveaway dapat mengambil banyak bentuk, tetapi gagasan umumnya adalah jika Anda mengirim ETH ke alamat dompet yang disediakan, Anda akan menerima kembali ETH Anda tetapi digandakan. Karena alasan ini, ini juga dikenal sebagai penipuan 2-untuk-1.

Penipuan ini biasanya menetapkan waktu kesempatan yang terbatas untuk mengklaim giveaway guna menciptakan rasa urgensi yang palsu.

Versi tingkat tinggi dari hal ini terjadi pada Juli 2020, ketika akun Twitter selebritas dan organisasi terkemuka diretas. Peretas secara bersamaan memposting giveaway Bitcoin di akun yang diretas. Meskipun tweet yang menipu dengan cepat diperhatikan dan dihapus, para peretas masih berhasil lolos dengan 11 bitcoin (atau $500.000 pada September 2021).

Giveaway selebritas

Giveaway selebritas adalah bentuk umum lain dari penipuan giveaway. Para penipu akan mengambil rekaman wawancara video atau pembicaraan konferensi yang diberikan oleh seorang selebritas dan menyiarkannya secara langsung di YouTube - membuatnya tampak seolah-olah selebritas tersebut memberikan wawancara video langsung yang mendukung giveaway mata uang kripto.

Vitalik Buterin paling sering digunakan dalam penipuan ini, tetapi banyak orang terkemuka lainnya yang terlibat dalam kripto juga digunakan (misalnya, Elon Musk atau Charles Hoskinson). Memasukkan orang terkenal memberikan siaran langsung penipu rasa legitimasi (ini terlihat mencurigakan, tetapi Vitalik terlibat, jadi pasti tidak apa-apa!).

Giveaway selalu merupakan penipuan. Jika Anda mengirim dana Anda ke akun ini, Anda akan kehilangannya selamanya.

Penipuan dukungan

Mata uang kripto adalah teknologi yang relatif muda dan sering disalahpahami. Penipuan umum yang memanfaatkan hal ini adalah penipuan dukungan, di mana penipu akan menyamar sebagai personel dukungan untuk dompet, bursa, atau blockchain populer.

Sebagian besar diskusi tentang Ethereum terjadi di Discord. Penipu dukungan umumnya akan menemukan target mereka dengan mencari pertanyaan dukungan di saluran discord publik dan kemudian mengirimkan pesan pribadi kepada penanya yang menawarkan dukungan. Dengan membangun kepercayaan, penipu dukungan mencoba menipu Anda agar mengungkapkan kunci pribadi Anda atau mengirim dana Anda ke dompet mereka.

Sebagai aturan umum, staf tidak akan pernah berkomunikasi dengan Anda melalui saluran pribadi yang tidak resmi. Beberapa hal sederhana yang perlu diingat saat berurusan dengan dukungan:

Jangan pernah membagikan kunci pribadi, frasa seed, atau kata sandi Anda
Jangan pernah mengizinkan siapa pun mengakses komputer Anda dari jarak jauh
Jangan pernah berkomunikasi di luar saluran yang ditunjuk organisasi

Hati-hati: meskipun penipuan bergaya dukungan umumnya terjadi di Discord, mereka juga dapat lazim di aplikasi obrolan apa pun tempat diskusi kripto terjadi, termasuk email.

Penipuan token 'Eth2'

Menjelang The Merge, penipu memanfaatkan kebingungan seputar istilah 'Eth2' untuk mencoba dan membuat pengguna menukarkan ETH mereka dengan token 'ETH2'. Tidak ada 'ETH2', dan tidak ada token sah lainnya yang diperkenalkan dengan The Merge. ETH yang Anda miliki sebelum The Merge adalah ETH yang sama sekarang. Tidak perlu mengambil tindakan apa pun terkait ETH Anda untuk memperhitungkan peralihan dari proof-of-work ke proof-of-stake.

Penipu mungkin muncul sebagai "dukungan", memberi tahu Anda bahwa jika Anda menyetorkan ETH Anda, Anda akan menerima kembali 'ETH2'. Tidak ada dukungan resmi Ethereum, dan tidak ada token baru. Jangan pernah membagikan frasa seed dompet Anda kepada siapa pun.

Catatan: Ada token/ticker turunan yang mungkin mewakili ETH yang di-stake (yaitu, rETH dari Rocket Pool, stETH dari Lido, ETH2 dari Coinbase), tetapi ini bukanlah sesuatu yang mengharuskan Anda untuk "bermigrasi."

Penipuan phishing

Penipuan phishing adalah sudut pandang lain yang semakin umum yang akan digunakan penipu untuk mencoba mencuri dana dompet Anda.

Beberapa email phishing meminta pengguna untuk mengeklik tautan yang akan mengarahkan mereka ke situs web tiruan, meminta mereka untuk memasukkan frasa seed mereka, mengatur ulang kata sandi mereka, atau mengirim ETH. Yang lain mungkin meminta Anda untuk tanpa sadar menginstal malware untuk menginfeksi komputer Anda dan memberi penipu akses ke file komputer Anda.

Jika Anda menerima email dari pengirim yang tidak dikenal, ingatlah:

Jangan pernah membuka tautan atau lampiran dari alamat email yang tidak Anda kenali
Jangan pernah membocorkan informasi pribadi atau kata sandi Anda kepada siapa pun
Hapus email dari pengirim yang tidak dikenal

Lebih lanjut tentang menghindari penipuan phishing (opens in a new tab)

Penipuan pialang perdagangan kripto

Pialang perdagangan kripto penipu mengklaim sebagai pialang mata uang kripto spesialis yang akan menawarkan untuk mengambil uang Anda dan berinvestasi atas nama Anda. Setelah penipu menerima dana Anda, mereka mungkin menuntun Anda, meminta Anda mengirim lebih banyak dana, sehingga Anda tidak ketinggalan keuntungan investasi lebih lanjut, atau mereka mungkin menghilang sama sekali.

Para penipu ini sering menemukan target dengan menggunakan akun palsu di YouTube untuk memulai percakapan yang tampaknya alami tentang 'pialang'. Percakapan ini sering kali mendapat banyak upvote untuk meningkatkan legitimasi, tetapi semua upvote tersebut berasal dari akun bot.

Jangan percaya orang asing di internet untuk berinvestasi atas nama Anda. Anda akan kehilangan kripto Anda.

Penipuan kolam penambangan kripto

Sejak September 2022, penambangan di Ethereum tidak lagi memungkinkan. Namun, penipuan kolam penambangan masih ada. Penipuan kolam penambangan melibatkan orang-orang yang menghubungi Anda tanpa diminta dan mengklaim bahwa Anda dapat memperoleh keuntungan besar dengan bergabung dengan kolam penambangan Ethereum. Penipu akan membuat klaim dan tetap berhubungan dengan Anda selama apa pun yang diperlukan. Pada dasarnya, penipu akan mencoba meyakinkan Anda bahwa ketika Anda bergabung dengan kolam penambangan Ethereum, mata uang kripto Anda akan digunakan untuk membuat ETH dan bahwa Anda akan dibayar dividen ETH. Anda kemudian akan melihat bahwa mata uang kripto Anda menghasilkan keuntungan kecil. Ini hanya untuk memancing Anda agar berinvestasi lebih banyak. Pada akhirnya, semua dana Anda akan dikirim ke alamat yang tidak diketahui, dan penipu akan menghilang atau dalam beberapa kasus akan terus tetap berhubungan seperti yang terjadi dalam kasus baru-baru ini.

Intinya: waspadalah terhadap orang-orang yang menghubungi Anda di media sosial yang meminta Anda untuk menjadi bagian dari kolam penambangan. Setelah Anda kehilangan kripto Anda, itu hilang.

Beberapa hal yang perlu diingat:

Waspadalah terhadap siapa pun yang menghubungi Anda tentang cara menghasilkan uang dari kripto Anda
Lakukan riset Anda tentang mengunci, kolam likuiditas, atau cara lain untuk menginvestasikan kripto Anda
Jarang, jika pernah, skema semacam itu sah. Jika memang demikian, mereka mungkin akan menjadi arus utama dan Anda pasti sudah mendengarnya.

Pria kehilangan $200rb dalam penipuan kolam penambangan (opens in a new tab)

Penipuan airdrop

Penipuan airdrop melibatkan proyek penipuan yang melakukan airdrop aset (NFT, token) ke dompet Anda dan mengirim Anda ke situs web penipuan untuk mengklaim aset yang di-airdrop. Anda akan diminta untuk masuk dengan dompet Ethereum Anda dan "menyetujui" transaksi saat mencoba mengklaim. Transaksi ini membahayakan akun Anda dengan mengirimkan kunci publik dan pribadi Anda ke penipu. Bentuk alternatif dari penipuan ini mungkin meminta Anda mengonfirmasi transaksi yang mengirimkan dana ke akun penipu.

Lebih lanjut tentang penipuan airdrop (opens in a new tab)

Dasar-dasar keamanan web

Gunakan kata sandi yang kuat

Lebih dari 80% peretasan akun adalah akibat dari kata sandi yang lemah atau dicuri (opens in a new tab). Kombinasi panjang karakter, angka, dan simbol akan membantu menjaga keamanan akun Anda.

Kesalahan umum adalah menggunakan kombinasi beberapa kata umum yang saling terkait. Kata sandi seperti ini tidak aman karena rentan terhadap teknik peretasan yang disebut serangan kamus.

Example of a weak password: CuteFluffyKittens!

Example of a strong password: ymv\*azu.EAC8eyp8umf

Kesalahan umum lainnya adalah menggunakan kata sandi yang dapat dengan mudah ditebak atau ditemukan melalui rekayasa sosial (opens in a new tab). Memasukkan nama gadis ibu Anda, nama anak atau hewan peliharaan Anda, atau tanggal lahir dalam kata sandi Anda akan meningkatkan risiko diretas.

Praktik kata sandi yang baik:

Buat kata sandi sepanjang yang diizinkan oleh pembuat kata sandi Anda atau formulir yang Anda isi
Gunakan campuran huruf besar, huruf kecil, angka, dan simbol
Jangan gunakan detail pribadi, seperti nama keluarga, dalam kata sandi Anda
Hindari kata-kata umum

Lebih lanjut tentang membuat kata sandi yang kuat (opens in a new tab)

Gunakan kata sandi unik untuk semuanya

Kata sandi kuat yang telah terungkap dalam pelanggaran data bukan lagi kata sandi yang kuat. Situs web Have I Been Pwned (opens in a new tab) memungkinkan Anda untuk memeriksa apakah akun Anda terlibat dalam pelanggaran data publik. Jika ya, segera ubah kata sandi tersebut. Menggunakan kata sandi unik untuk setiap akun menurunkan risiko peretas mendapatkan akses ke semua akun Anda jika salah satu kata sandi Anda disusupi.

Gunakan pengelola kata sandi

Menggunakan pengelola kata sandi akan mengurus pembuatan kata sandi yang kuat, unik, dan mengingatnya! Kami sangat menyarankan untuk menggunakannya, dan sebagian besar gratis!

Mengingat kata sandi yang kuat dan unik untuk setiap akun yang Anda miliki tidaklah ideal. Pengelola kata sandi menawarkan penyimpanan terenkripsi yang aman untuk semua kata sandi Anda yang dapat Anda akses melalui satu kata sandi utama yang kuat. Mereka juga menyarankan kata sandi yang kuat saat mendaftar untuk layanan baru, sehingga Anda tidak perlu membuatnya sendiri. Banyak pengelola kata sandi juga akan memberi tahu Anda jika Anda telah terlibat dalam pelanggaran data, memungkinkan Anda untuk mengubah kata sandi sebelum serangan berbahaya apa pun.

Coba pengelola kata sandi:

Bitwarden (opens in a new tab)
KeePass (opens in a new tab)
1Password (opens in a new tab)
Atau periksa pengelola kata sandi yang disarankan (opens in a new tab) lainnya

Gunakan Autentikasi Dua Faktor

Anda terkadang mungkin diminta untuk mengautentikasi identitas Anda melalui bukti unik. Ini dikenal sebagai faktor. Tiga faktor utama adalah:

Sesuatu yang Anda ketahui (seperti kata sandi atau pertanyaan keamanan)
Sesuatu yang ada pada diri Anda (seperti sidik jari atau pemindai iris/wajah)
Sesuatu yang Anda miliki (kunci keamanan atau aplikasi autentikasi di ponsel Anda)

Menggunakan Autentikasi Dua Faktor (2FA) memberikan faktor keamanan tambahan untuk akun daring Anda. 2FA memastikan bahwa hanya memiliki kata sandi Anda tidak cukup untuk mengakses akun. Paling umum, faktor kedua adalah kode 6 digit acak, yang dikenal sebagai kata sandi satu kali berbasis waktu (TOTP), yang dapat Anda akses melalui aplikasi autentikator seperti Google Authenticator atau Authy. Ini berfungsi sebagai faktor "sesuatu yang Anda miliki" karena seed yang menghasilkan kode berwaktu disimpan di perangkat Anda.

Catatan: Menggunakan 2FA berbasis SMS rentan terhadap pembajakan SIM dan tidak aman. Untuk keamanan terbaik, gunakan layanan seperti Google Authenticator atau Authy.

Kunci keamanan

Kunci keamanan adalah jenis 2FA yang lebih canggih dan aman. Kunci keamanan adalah perangkat autentikasi perangkat keras fisik yang berfungsi seperti aplikasi autentikator. Menggunakan kunci keamanan adalah cara paling aman untuk 2FA. Banyak dari kunci ini menggunakan standar FIDO Universal 2nd Factor (U2F). Pelajari lebih lanjut tentang FIDO U2F (opens in a new tab).

Tonton lebih lanjut tentang 2FA:

Copot pemasangan ekstensi peramban

Ekstensi peramban, seperti ekstensi Chrome atau Add-on untuk Firefox, dapat meningkatkan fungsionalitas peramban tetapi juga memiliki risiko. Secara default, sebagian besar ekstensi peramban meminta akses untuk 'membaca dan mengubah data situs', yang memungkinkan mereka melakukan hampir apa saja dengan data Anda. Ekstensi Chrome selalu diperbarui secara otomatis, sehingga ekstensi yang sebelumnya aman dapat diperbarui nanti untuk menyertakan kode berbahaya. Sebagian besar ekstensi peramban tidak mencoba mencuri data Anda, tetapi Anda harus menyadari bahwa mereka bisa melakukannya.

Tetap aman dengan:

Hanya menginstal ekstensi peramban dari sumber tepercaya
Menghapus ekstensi peramban yang tidak digunakan
Menginstal ekstensi Chrome secara lokal untuk menghentikan pembaruan otomatis (Lanjutan)

Lebih lanjut tentang risiko ekstensi peramban (opens in a new tab)

Bacaan lebih lanjut

Keamanan web

Keamanan kripto

Melindungi Diri Anda dan Dana Anda (opens in a new tab) - MyCrypto
Masalah keamanan dalam perangkat lunak komunikasi kripto umum (opens in a new tab) - Salus
Panduan Keamanan Untuk Pemula Dan Orang Pintar Juga (opens in a new tab) - MyCrypto
Keamanan Kripto: Kata Sandi dan Autentikasi (opens in a new tab) - Andreas M. Antonopoulos

Edukasi penipuan

Panduan: Cara mengidentifikasi token penipuan
Tetap Aman: Penipuan Umum (opens in a new tab) - MyCrypto
Menghindari Penipuan (opens in a new tab) - Bitcoin.org
Utas Twitter tentang email dan pesan phishing kripto umum (opens in a new tab) - Taylor Monahan

Uji pengetahuan Ethereum Anda

Pembaruan terakhir halaman: 2 Maret 2026

+25