Lanjut ke konten utama

Halaman terakhir kali diperbaharui: 13 September 2024

Keamanan ethereum dan pencegahan penipuan

Meningkatnya minat terhadap mata uang kripto disertai dengan risiko yang semakin besar dari penipu dan peretas. Artikel ini memaparkan beberapa praktik terbaik untuk mengurangi risiko tersebut.

Keamanan crypto 101

Tingkatkan pengetahuan Anda

Kesalahpahaman tentang cara kerja kripto dapat menyebabkan kesalahan yang mahal. Misalnya, jika seseorang berpura-pura menjadi agen layanan pelanggan yang dapat mengembalikan ETH yang hilang dengan imbalan kunci pribadi Anda, mereka memanfaatkan ketidaktahuan orang bahwa Ethereum adalah jaringan terdesentralisasi yang tidak memiliki fungsionalitas seperti itu. Mengedukasi diri Anda sendiri tentang bagaimana Ethereum bekerja adalah investasi yang sepadan.

Apa yang Dimaksud dengan Ethereum?

Apa yang Dimaksud dengan ether?

Keamanan dompet

Jangan berikan kunci pribadi Anda

Jangan pernah, untuk alasan apapun, membagi kunci pribadi Anda!

Kunci privat untuk dompet Anda adalah kata sandi untuk dompet Ethereum Anda. Ini satu-satunya cara menghentikan seseorang yang mengetahui alamat dompet Anda dari menghabisi akun Anda dan semua asetnya!

Apa itu dompet Ethereum?

Jangan mengambil tangkapan layar frasa benih/kunci pribadi Anda

Mengambil tangkapan layar frasa benih atau kunci privat Anda dapat menyinkronkannya ke penyedia data cloud, yang bisa membuatnya dapat diakses oleh peretas. Mendapatkan kunci pribadi dari cloud adalah vektor serangan umum bagi peretas.

Gunakan dompet perangkat keras

Dompet perangkat keras menyediakan penyimpanan offline untuk kunci pribadi. Mereka dianggap sebagai pilihan dompet yang paling aman untuk menyimpan kunci pribadi Anda: kunci pribadi Anda tidak pernah terhubung ke internet dan tetap aman di perangkat Anda.

Menjaga kunci pribadi tetap offline secara besar-besaran mengurangi risiko diretas, bahkan jika peretas menguasai komputer Anda.

Coba dompet perangkat keras:

Periksa kembali transaksi sebelum mengirim

Secara tidak sengaja mengirim crypto ke alamat dompet yang salah adalah kesalahan umum. Transaksi yang dikirim di Ethereum tidak dapat dibatalkan. Anda tidak akan dapat mendapatkan kembali dana kecuali mengetahui pemilik alamat dan dapat meyakinkan mereka untuk mengembalikan dana tersebut.

Selalu pastikan alamat yang Anda kirim sama persis dengan alamat penerima yang diinginkan sebelum melakukan transaksi. Sebaiknya, saat berinteraksi dengan kontrak pintar, bacalah pesan transaksi sebelum menandatanganinya.

Tetapkan batas pengeluaran kontrak pintar

Saat berinteraksi dengan kontrak pintar, jangan izinkan batas pembelanjaan tak terbatas. Pengeluaran tak terbatas dapat memungkinkan kontrak pintar menguras dompet Anda. Sebaliknya, tetapkan batas pengeluaran hanya untuk jumlah yang diperlukan untuk transaksi.

Banyak dompet Ethereum menawarkan perlindungan batas untuk melindungi dari akun yang terkuras.

Cara mencabut akses smart contract ke dana kripto anda

Penipuan umum

Meskipun tidak mungkin menghentikan penipu sepenuhnya, kita bisa membuat mereka kurang efektif dengan menyadari teknik-teknik yang paling sering mereka gunakan. Ada banyak variasi penipuan ini, tetapi umumnya mengikuti pola tingkat tinggi yang sama. Jika tidak ada yang lain, ingat:

  • selalu skeptis
  • tidak ada yang akan memberi Anda ETH gratis atau diskon
  • tidak ada yang membutuhkan akses ke kunci pribadi atau informasi pribadi Anda

Twitter dan penipuan

Phishing melalui tautan Twitter

Ada metode untuk memalsukan fitur pratayang tautan (unfurling) Twitter (juga dikenal sebagai X) untuk mungkin menipu pengguna agar berpikir mereka mengunjungi situs web yang sah. Teknik ini memanfaatkan mekanisme Twitter untuk menghasilkan pratayang URL yang dibagikan dalam tweet, dan menunjukkan dari ethereum.org (seperti yang ditunjukkan di atas), padahal sebenarnya mereka diarahkan ke situs jahat.

Selalu periksa bahwa Anda berada di domain yang benar, terutama setelah mengklik tautan.

Informasi lebih lanjut di sini(opens in a new tab).

Penipuan berhadiah

Salah satu penipuan paling umum dalam mata uang kripto adalah penipuan giveaway. Penipuan giveaway dapat muncul dalam berbagai bentuk, tetapi ide umumnya adalah jika mengirim ETH ke alamat dompet yang diberikan, Anda akan menerima ETH kembali dengan jumlah yang digandakan. Untuk alasan ini, ini juga dikenal sebagai penipuan 2-untuk-1.

Penipuan semacam ini biasanya menetapkan waktu yang terbatas untuk mengeklaim giveaway, untuk menciptakan rasa urgensi yang palsu.

Peretasan media sosial

Riwayat tinggi dari versi ini terjadi pada Juli 2020, ketika akun Twitter selebritas dan organisasi terkemuka diretas. Peretas secara bersamaan memposting hadiah Bitcoin di akun yang diretas. Meskipun tweet yang menipu dengan cepat diketahui dan dihapus, para peretas masih berhasil lolos dengan 11 bitcoin (atau $500.000 pada September 2021).

Penipuan di Twitter

Hadiah selebriti

Pemberian selebriti adalah bentuk umum lain dari penipuan giveaway. Para penipu akan merekam wawancara video atau pembicaraan konferensi yang diberikan selebriti dan menyiarkannya secara langsung di YouTube - membuatnya tampak seolah-olah selebriti tersebut memberikan wawancara video langsung yang mendukung pemberian mata uang kripto.

Vitalik Buterin paling sering digunakan dalam penipuan ini, tetapi banyak orang terkemuka lainnya yang terlibat dalam kripto juga digunakan (misalnya Elon Musk atau Charles Hoskinson). Menyertakan orang terkenal untuk memberikan legitimasi dalam siaran langsung penipu (ini terlihat samar, tetapi Vitalik terlibat, jadi itu pasti baik-baik saja!).

Giveaways selalu penipuan. Jika Anda mengirim dana ke akun ini, Anda akan kehilangannya selamanya.

Penipuan di YouTube

Dukung penipuan

Mata uang kripto adalah teknologi yang relatif masih baru dan disalahpahami. Penipuan umum yang memanfaatkan ini adalah penipuan dukungan, di mana penipu akan menyamar sebagai personel pendukung untuk dompet, bursa, atau rantai blok populer.

Banyak diskusi tentang Ethereum berlangsung di Discord. Penipu dukungan biasanya akan menemukan target mereka dengan mencari pertanyaan dukungan di saluran perselisihan publik dan kemudian mengirimkan pesan pribadi yang menawarkan dukungan kepada penanya. Dengan membangun kepercayaan, penipu dukungan mencoba menipu Anda untuk mengungkapkan kunci pribadi Anda atau mengirim dana Anda ke dompet mereka.

Penipuan dukungan di Discord

Sebagai aturan umum, staf tidak akan pernah berkomunikasi dengan Anda melalui saluran pribadi dan tidak resmi. Beberapa hal sederhana yang perlu diingat ketika berhadapan dengan dukungan:

  • Jangan pernah membagikan kunci pribadi, frasa awal, atau kata sandi Anda
  • Jangan pernah izinkan siapa pun mengakses komputer Anda dari jarak jauh
  • Jangan pernah berkomunikasi di luar kanal yang ditunjuk organisasi
Hati-hati: meskipun penipuan gaya dukungan biasanya terjadi di Discord, penipuan ini juga dapat terjadi pada aplikasi obrolan tempat diskusi kripto berlangsung, termasuk email.

Penipuan token 'Eth2'

Menjelang Penggabungan, penipu memanfaatkan kebingungan seputar istilah 'Eth2' untuk mencoba meminta pengguna menukar ETH mereka dengan token 'ETH2'. Tidak ada 'ETH2', dan tidak ada token sah lain yang diperkenalkan bersamaan dengan Penggabungan. ETH yang Anda miliki sebelum Penggabungan masih sama dengan ETH yang sekarang. Tidak perlu melakukan tindakan apa pun yang terkait dengan ETH Anda untuk akun peralihan dari bukti kerja ke bukti taruhan.

Penipu mungkin muncul dalam bentuk "bantuan", memberi tahu Anda bahwa jika Anda mendepositkan ETH Anda, Anda akan menerima 'ETH2' kembali. Tidak ada dukungan Ethereum resmi, dan tidak ada token baru. Jangan pernah membagikan frasa benih dompet Anda dengan siapa pun.

Catatan: Ada token/ticker turunan yang mungkin mewakili ETH yang dipertaruhkan (mis. rETH dari Rocket Pool, stETH dari Lido, ETH2 dari Coinbase), tetapi ini bukanlah sesuatu yang Anda butuhkan untuk "memindahkan ke."

Penipuan phishing

Penipuan phishing adalah sudut lain yang semakin umum yang akan digunakan scammer untuk mencoba mencuri dana dompet Anda.

Beberapa email phishing meminta pengguna untuk mengklik tautan yang akan mengarahkan mereka kembali ke situs web tiruan, meminta mereka memasukkan frase benih, mengatur ulang kata sandi, atau mengirim ETH. Orang lain mungkin meminta Anda untuk secara tidak sadar memasang malware untuk menginfeksi komputer Anda dan memberikan akses kepada scammers ke file komputer Anda.

Jika Anda menerima email dari pengirim yang tidak dikenal, ingatlah:

  • Jangan pernah membuka tautan atau lampiran dari alamat email yang tidak Anda kenal
  • Jangan pernah membocorkan informasi pribadi atau kata sandi Anda kepada siapa pun
  • Hapus email dari pengirim yang tidak dikenal

Lebih lanjut tentang menghindari penipuan phishing(opens in a new tab)

Penipuan broker perdagangan kripto

Penipu broker perdagangan kripto mengklaim sebagai broker mata uang kripto spesialis yang akan menawarkan untuk mengambil uang Anda dan berinvestasi atas nama Anda. Setelah penipu menerima dana Anda, mereka mungkin mengarahkan Anda, meminta Anda mengirim lebih banyak dana, sehingga Anda tidak kehilangan keuntungan investasi lebih lanjut, atau mungkin hilang sama sekali.

Para penipu ini sering kali mencari target dengan menggunakan akun palsu di YouTube untuk memulai percakapan yang tampak alami tentang 'broker'. Percakapan ini sering kali mendapat dukungan tinggi untuk meningkatkan legitimasi, tetapi suara positif semuanya berasal dari akun bot.

Jangan percaya orang asing di internet untuk berinvestasi atas nama Anda. Anda akan kehilangan kripto Anda.

Penipuan broker perdagangan di YouTube

Penipuan pool penambangan crypto

Mulai September 2022, menambang di Ethereum sudah tidak bisa dilakukan lagi. Namun, penipuan yang terkait dengan kelompok penambangan masih ada. Penipuan kelompok penambangan terjadi ketika seseorang menghubungi Anda tanpa Anda memintanya, lalu mengatakan bahwa Anda bisa mendapatkan keuntungan besar dengan bergabung dalam kelompok penambangan Ethereum. Penipu akan membuat klaim dan tetap berhubungan dengan Anda selama waktu yang dibutuhkan. Pada dasarnya, penipu akan mencoba meyakinkan Anda bahwa ketika bergabung dengan kolam penambangan Ethereum, mata uang kripto Anda akan digunakan untuk membuat ETH dan Anda akan dibayar dividen ETH. Anda kemudian akan melihat bahwa mata uang kripto Anda menghasilkan keuntungan kecil. Ini hanya untuk memancing Anda berinvestasi lebih banyak. Pada akhirnya, semua dana Anda akan dikirim ke alamat yang tidak dikenal, dan si penipu entah akan menghilang atau dalam beberapa kasus akan terus berhubungan seperti yang terjadi dalam kasus baru-baru ini.

Intinya: berhati-hatilah dengan orang yang menghubungi Anda di media sosial meminta untuk bergabung dengan pool penambangan. Setelah Anda kehilangan crypto Anda, itu hilang.

Beberapa hal yang perlu diingat:

  • Berhati-hatilah terhadap siapa pun yang menghubungi Anda tentang cara menghasilkan uang dari crypto Anda
  • Lakukan riset Anda tentang staking, kumpulan likuiditas, atau cara lain untuk menginvestasikan crypto Anda
  • Jarang, jika pernah, skema seperti itu sah. Jika ya, mereka mungkin akan menjadi arus utama dan Anda pasti pernah mendengarnya.

Seorang pria kehilangan $200 ribu dalam penipuan pool penambangan(opens in a new tab)

Penipuan airdrop

Penipuan Airdrop melibatkan proyek penipuan dengan memasukkan aset (NFT, token) ke dompet dan mengirim Anda ke situs web scam untuk mengeklaim aset yang dijadikan Airdrop. Anda akan diminta untuk masuk dengan dompet Ethereum Anda dan "menyetujui" transaksi saat mencoba mengklaim. Transaksi ini membahayakan akun Anda dengan mengirimkan kunci publik dan privat Anda ke penipu. Bentuk alternatif penipuan ini mungkin mengharuskan Anda mengonfirmasi transaksi yang mengirimkan dana ke akun penipu.

Lebih lanjut tentang penipuan Airdrop(opens in a new tab)

Keamanan Situs 101

Gunakan kata sandi yang kuat

Lebih dari 80% pembajakan akun adalah akibat dari lemahnya atau tercurinya kata sandi(opens in a new tab). Kombinasi panjang dari karakter, angka, dan simbol akan membantu menjaga keamanan akun Anda.

Kesalahan umum adalah menggunakan kombinasi beberapa kata umum yang saling terkait. Kata sandi seperti ini tidak aman karena rentan terhadap teknik peretasan yang disebut serangan kamus.

Contoh kata sandi yang lemah: CuteFluffyKittens!

Contoh kata sandi yang kuat: ymv\*azu.EAC8eyp8umf

Kesalahan umum lainnya adalah menggunakan kata sandi yang mudah ditebak atau ditemukan melalui rekayasa sosial(opens in a new tab). Menyertakan nama gadis ibu, nama anak-anak atau hewan peliharaan, atau tanggal lahir dalam kata sandi Anda akan meningkatkan risiko akun diretas.

Beberapa langkah yang perlu diperhatikan dalam membentuk kata sandi:

  • Buatlah kata sandi dengan panjang karakter maksimal sesuai dengan yang diperbolehkan pembuat kata sandi atau sesuai dengan ketentuan formulir yang anda isi
  • Gunakan gabungan huruf kapital, huruf kecil, angka dan simbol
  • Hindari penggunaan informasi personal, seperti nama keluarga, di dalam kata sandi anda
  • Hindari kata-kata umum

Selanjutnya, langkah dalam membuat kata sandi yang kuat(opens in a new tab)

Gunakan kata sandi yang unik untuk semua hal

Kata sandi yang kuat yang telah terungkap dalam pelanggaran data tidak lagi merupakan kata sandi yang kuat. Situs web Have I Been Pwned(opens in a new tab) memungkinkan Anda memeriksa apakah akun terlibat dalam pelanggaran data publik. Jika iya, gantilah kata sandi tersebut segera. Menggunakan kata sandi yang unik untuk setiap akun mengurangi risiko peretas mendapatkan akses ke semua akun Anda jika salah satu kata sandi tersebut terkompromi.

Menggunakan pengelola kata sandi

Menggunakan pengelola kata sandi akan membantu Anda membuat kata sandi yang kuat dan unik serta mengingatnya! Kami sangat menyarankan untuk menggunakannya, dan sebagian besar dari mereka gratis!

Mengingat kata sandi yang kuat dan unik untuk setiap akun tidaklah ideal. Pengatur kata sandi memberikan tempat yang terenkripsi dan aman untuk setiap kata sandi Anda. Mereka juga menyarankan kata sandi yang kuat saat mendaftar ke layanan baru, jadi Anda tidak perlu membuatnya sendiri. Banyak pengelola kata sandi akan memberitahukan Anda jika kata sandi Anda diretas, sehingga memberikan Anda kesemaptan untuk mengubah kata sandi Anda sebelum serangan yang berbahaya.

Contoh penggunaan pengelola kata sandi

Contoh jasa pengelola kata sandi:

Menggunakan Autentikasi Dua Faktor

Anda mungkin terkadang diminta untuk mengautentikasi identitas melalui bukti unik. Ini dikenal sebagai faktor. Tiga faktor utama adalah:

  • Sesuatu yang Anda ketahui (seperti kata sandi atau pertanyaan keamanan)
  • Sesuatu yang melekat pada diri Anda (seperti sidik jari atau hasil pindaian mata/wajah)
  • Sesuatu yang Anda miliki (sebuah kunci atau autentikasi aplikasi dalam perangkat yang Anda miliki)

Menggunakan Autentikasi Dua Faktor (2FA) memberikan faktor keamanan tambahan untuk akun online Anda. 2FA memastikan bahwa hanya memiliki kata sandi saja tidak cukup untuk mengakses akun. Umumnya, faktor autentikasi kedua adalah 6 digit kode yang dikenal sebagai kata sandi satu kali berbais waktu (TOTP), yang Anda dapat akses dengan sebuah aplikasi autentikasi seperti Google Authenticator atau Authy. Ini berfungsi sebagai faktor "sesuatu yang Anda miliki" karena benih yang menghasilkan kode waktunya disimpan di perangkat Anda.

Catatan: Menggunakan 2FA berbasis SMS rentan terhadap SIM jacking(opens in a new tab) dan tidak aman. Untuk keamanan terbaik, gunakan layanan seperti Google Authenticator(opens in a new tab) atau Authy(opens in a new tab).

Kunci keamanan

Kunci keamanan adalah jenis 2FA yang lebih canggih dan aman. Kunci keamanan adalah perangkat autentikasi perangkat keras fisik yang bekerja mirip dengan aplikasi autentikator. Menggunakan kunci keamanan merupakan cara paling aman dalam 2FA. Umumnya kunci ini menggunakan standar FIDO Universal 2nd Factor (U2F). Pelajari lebih lanjut mengenai FIDO U2F(opens in a new tab).

Tonton lebih lanjut tentang 2FA:

Hapus ekstensi peramban

Ekstensi browser, seperti ekstensi Chrome atau Add-on untuk Firefox, dapat meningkatkan fungsionalitas browser tetapi juga membawa risiko. Secara bawaan, sebagian besar ekstensi peramban menanyakan akses untuk 'membaca dan mengubah data', mengizinkan mereka melakukan hampir apapun pada data Anda. Ekstensi Chrome selalu melakukan pembaruan otomatis, jadi ekstensi yang sebelumnya aman bisa diperbarui belakangan dan mengandung kode jahat. Sebagian besar ekstensi peramban tidak bermaksud mencuri data Anda, tetapi Anda harus waspada bahwa mereka dapat melakukannya.

Tetaplah aman dengan cara:

  • Hanya menginstal ekstensi peramban dari sumber terpercaya
  • Hapus ekstensi peramban yang tidak digunakan
  • Instal ekstensi Chrome secara lokal untuk menghentikan pembaruan-otomatis (Lanjutan)

Selengkapnya mengenai risiko ekstensi browser(opens in a new tab)

Bacaan lebih Lanjut

Keamanan web

Keamanan kripto

Edukasi penipuan

Uji pengetahuan Ethereum Anda

Apakah artikel ini membantu?