$AIRDROP HUNTERGarap airdrop dengan aman
简体中文 English Tiếng Việt Bahasa Indonesia বাংলা
Keamanan

Panduan Lengkap Mengenali Airdrop Palsu & Phishing: Phishing Approval, Halaman Klaim Palsu, Penipuan Frasa Benih

Lin Yue · Tim Editorial Airdrop Hunter · ·Sekitar 16 menit
Buku monster pixel-art berisi monster yang menyamar sebagai kotak hadiah airdrop, mulut terbuka, berlabel halaman klaim palsu, phishing approval, drainer, penipuan frasa benih
Anggap misi ini sebagai "buku monster" — kamu baru bisa mengalahkan monster setelah bisa mengenali wujudnya.

Aku kenal banyak orang yang garap airdrop setengah tahun tanpa menangkap satu airdrop layak pun, tapi suatu malam larut tangan mereka keseleo dan menandatangani habis segala yang mereka bangun berbulan-bulan. Kisahnya selalu pola yang sama: melihat pesan bertuliskan "kamu memenuhi syarat, klaim sekarang, waktu terbatas", klik masuk, hubungkan dompet, pop-up, konfirmasi — tiga detik. Transaksi on-chain tak bisa dibatalkan; begitu satu klik itu ditandatangani, tak seorang pun bisa menariknya kembali. Maka misi ini kusebut "buku monster": musuh sebenarnya dari garap airdrop bukan tidak kebagian, melainkan terkena phishing. Monster-monster di bawah — seperti apa wujudnya, bagaimana ia menggigit, cara menghindarinya, dan cara menyelamatkan diri kalau tergigit — akan kubedah satu per satu.

Ingat satu hal dulu: uang tak bergerak karena kamu melihat sebuah situs

Sebelum pertarungan, paku satu kebenaran mendasar ke kepalamu — ia akan mencegahmu membuat kesalahan fatal di saat panik: aset di blockchain hanya bergerak karena transaksi atau approval yang ditandatangani dengan tanganmu sendiri. Sekadar membuka halaman, menghubungkan dompet, melihat iklan, menonton hitung mundur — tak satu pun dari aksi itu memakan sepeser pun. Bahaya selalu di langkah berikutnya: dompetmu memunculkan kotak yang meminta kamu mengeklik "konfirmasi", "tanda tangan", atau "approve", dan kamu mengekliknya.

Penipuan punya variasi tak terbatas, tapi hanya punya dua ujung: entah mengelabuimu menandatangani sebuah approval atau transfer, atau mengelabuimu menyerahkan frasa benih atau private key secara langsung. Yang pertama mencuri koin tertentu atau aset tertentu; yang kedua mencuri seluruh dompet. Kenali dua garis utama ini dan kamu bisa menggolongkan tiap trik berikutnya. Maka tiap kali pop-up "klaim", "verifikasi", "sinkronkan", atau "buka kunci" muncul, jeda tiga detik dan tanyakan satu hal pada dirimu: apa sebenarnya yang sedang kutandatangani sekarang? Satu jeda itu bisa menyelamatkan sebagian besar yang kamu miliki.

▶ Pola pikir

Kesalahan yang paling sering dibuat pemula bukan "diretas oleh teknologi canggih" — melainkan mengeklik konfirmasi dengan asal saat cemas dan bersemangat. Tiap skema phishing bersandar pada dua hal untuk memburu-burumu: kelangkaan (waktu terbatas, slot terbatas, lewat maka hilang) dan otoritas (berpura-pura resmi). Begitu kamu merasa "aku harus buru-buru", itu kemungkinan besar justru saat untuk berhenti.

Monster #1: airdrop palsu dan halaman klaim palsu

Ini pembuka yang paling umum. Umpannya biasanya tampak begini:

  • Sebuah token muncul tanpa penjelasan di dompetmu, dengan nama yang sering dibuat mengesankan, menggemakan suatu proyek populer, dan sebuah URL dijejalkan ke deskripsi token bertuliskan "ke sini untuk klaim hadiah aslimu."
  • Seseorang me-mention atau DM kamu di Twitter, Telegram, atau Discord, mengatakan kamu memenuhi syarat untuk suatu airdrop, dengan tautan klaim terlampir.
  • Kamu mencari sebuah proyek di Google, dan slot iklan teratas adalah domain tiruan yang tampak nyaris identik dengan situs resmi, meleset satu-dua huruf, atau dengan .com diganti jadi .xyz, .app, dan semacamnya.

Begitu kamu klik masuk, halaman klaim palsu dibuat sangat meyakinkan: logo, warna, dan font proyek semua disalin, sebuah tombol "Claim" terang di halaman, mungkin dengan hitung mundur berdetak untuk memburu-burumu. Kamu menghubungkan dompet, klik klaim, dan pop-up muncul — ini kuncinya — yang diminta pop-up itu untuk kamu tandatangani sama sekali bukan "mengklaim koin", melainkan sebuah approval atau transfer. Antarmukanya bertuliskan "Claim", tapi panggilan kontrak yang sebenarnya berjalan di baliknya memberi approval atas asetmu kepada penipu, atau langsung mentransfernya keluar.

Cara mengenalinya? Beberapa aturan keras:

  • Verifikasi domain huruf demi huruf. Jangan percayai hasil pencarian, jangan percayai tautan yang dikirim orang lain. Untuk benar-benar mencapai situs resmi sebuah proyek, klik lewat profil Twitter resmi atau dokumen resminya, atau ketik URL yang sudah kamu konfirmasi sendiri. Domain tiruan adalah titik lemah penipuan ini — tekan keras dan kamu menyaring sebagian besarnya.
  • Anggap "klaim waktu terbatas" yang terlalu indah untuk jadi nyata sebagai palsu sejak awal. Airdrop sungguhan jarang memakai taktik tekanan "klaim sekarang atau hilang"; proyek yang sah cenderung menjabarkan aturan dengan jelas dan menyisakan banyak waktu. Makin ia memburu-burumu dan memaksimalkan rasa langka, makin mencurigakan.
  • Token asing yang muncul di dompetmu — jangan pernah sentuh tautan yang diberikannya. "Airdrop" macam ini adalah umpan untuk mengaitkanmu ke halaman phishing. Cukup bersikap seolah ia tak ada; ia tak akan mencuri koinmu sendiri.

Catatan sampingan: apa itu airdrop sungguhan, kenapa proyek bersedia membagikan token, dan kira-kira seperti apa alur klaim yang sah — semua dibahas di apa itu airdrop. Punya templat mental "seperti apa yang normal" lebih dulu, dan yang palsu lebih gampang ketahuan sendiri.

⚠ Perhatikan

Ada satu varian yang sangat licik: halaman phishing meminta kamu "menandatangani pesan gratis untuk memverifikasi identitas". Tanda tangan ini tampak tak berbahaya (tanpa gas, terlihat seperti login), tapi isinya bisa jadi sebuah approval permit (dirinci di bawah), dan menandatanganinya membuka pintu. Ingat: kalau kamu tak bisa memahami apa yang dikatakan sesuatu yang diminta untuk kamu tandatangani, jangan tanda tangan.

Monster #2: phishing approval (approve / permit / setApprovalForAll)

Inilah yang paling layak diluangkan waktu untuk dipahami, karena ia paling licik dan paling umum. Untuk menjelaskannya dengan benar, aku harus lebih dulu menjernihkan apa itu mekanisme approval.

Di on-chain, token-tokenmu (misalnya USDT, berbagai token ERC-20) ada di alamatmu sendiri. Saat kamu ingin memakai aplikasi DeFi — untuk swap, untuk staking — kontrak aplikasi itu perlu "memindahkan koin-koin itu atas namamu". Tapi ia tak bisa memindahkan uangmu dari ketiadaan; kamu lebih dulu harus approve ia: kamu menandatangani sebuah transaksi yang memberitahu kontrak token untuk "mengizinkan alamat kontrak anu memindahkan koin ini milikku sampai sebanyak X". Ini mekanisme normal yang tak bisa dihindari garap airdrop — kalau kamu pernah memakai DeFi, kamu pernah menandatangani approve.

Masalahnya ada di dua tempat. Pertama, banyak approval default ke "jumlah tak terbatas" — demi kenyamanan, aplikasi sering meminta jumlah tanpa batas atas agar kamu tak perlu approve ulang tiap kali. Nyaman, ya, tapi begitu kontrak itu jahat, atau kemudian diretas, ia bisa menyapu seluruh koin itu — bukan cuma bagian yang kamu maksudkan untuk dipakai. Kedua, approval berbuah dengan tunda: pada saat kamu tanda tangan, koinmu belum berkurang dan pop-up-nya tak menakutkan, jadi kamu tak merasakan apa-apa. Begitu penipu punya approval tak terbatas, mereka bisa mengintai dan menyapunya bersih pada hari saldomu paling tinggi. Banyak orang yang "diretas entah dari mana beberapa hari kemudian" melacaknya ke sebuah approval yang ditandatangani asal di suatu titik.

Beberapa panggilan approval yang umum — kamu setidaknya harus mengenali namanya:

  • approve — untuk token ERC-20 (USDT, berbagai koin), memberi approval sebuah kontrak untuk memindahkan koinmu, mungkin dengan jumlah tak terbatas.
  • permit / permit2 — metode "approve lewat tanda tangan", tanpa transaksi terpisah, tanpa gas, bahkan kurang mencolok. Halaman phishing menyukainya, karena korban berpikir "aku cuma menandatangani sesuatu, aku tak membelanjakan uang" dan paling lengah.
  • setApprovalForAll — untuk NFT, dan yang ini paling kejam: satu tanda tangan memberi approval atas seluruh koleksi NFT-mu kepada pihak lain. Halaman "klaim NFT" dan "mint gratis" palsu menyukainya, mampu menggondol satu set penuh NFT-mu sekali jalan.
✖ Garis merah

Di pop-up tanda tangan dompet, kalau kamu melihat kata seperti approve, permit, atau setApprovalForAll, dengan jumlah ditampilkan sebagai "tak terbatas / Unlimited / deretan panjang angka raksasa", dan kamu tak jelas kenapa kamu memberi approval — tolak segera. Approval aplikasi yang sah muncul hanya saat kamu aktif memulai swap atau staking, bukan dimunculkan tiba-tiba oleh suatu halaman "klaim airdrop" atau "verifikasi identitas".

Cara menghindari phishing approval?

  • Pahami pop-up sebelum tanda tangan. Dompet arus-utama kini memberi pembacaan sebelum kamu tanda tangan: apa yang dilakukan transaksi ini, kepada siapa diberi approval, seberapa besar jumlahnya. Jangan klik konfirmasi tanpa berpikir — luangkan lima detik membaca baris itu. Tak bisa memahaminya? Jangan tanda tangan.
  • Turunkan jumlah approval kalau bisa. Banyak dompet membolehkanmu mengubah tak terbatas turun jadi "cukup untuk kali ini saja". Sedikit lebih repot, tapi memampatkan risiko dari "segalanya" jadi "sedikit ini saja".
  • Bersihkan approval secara berkala. Dengan alat seperti revoke.cash, hubungkan dompetmu dan kamu bisa melihat kontrak mana saja yang sudah diberi approval oleh alamatmu dan sebanyak apa, lalu cabut yang tak dipakai dan yang mencurigakan satu per satu. Jadikan ini kebiasaan rutin — caranya dan seberapa sering dibahas khusus di keamanan dompet.

Approval persis kenapa situs ini terus menekankan punya dompet khusus garap airdrop tanpa uang besar di dalamnya: sekalipun suatu approval ter-phishing suatu hari, kerugian terbatas pada wadah kecil ini, sementara kepemilikan utama dan aset jangka panjangmu duduk aman di dompet bersih yang terpisah, tak pernah disentuh.

Monster #3: skrip sapu-otomatis drainer

"Drainer" artinya persis itu — satu rangkaian utuh skrip jahat yang dibuat khusus untuk mengosongkan dompet. Ia bukan satu jurus tunggal melainkan pengemasan taktik-taktik di atas menjadi sebuah "produk" — di dunia bawah kriminal, orang bahkan menyewakan drainer ke orang lain, penyewa mengurus pemancingan (situs palsu, beli iklan, menebar tautan di grup) sementara drainer mengurus "pengosongan efisien" dan membagi hasil rampasan dengan penyewa. Maka banyak situs phishing yang kamu lihat di luar sana menjalankan drainer yang sama di belakangnya.

Di mana sengatannya? Pada saat kamu menghubungkan dompet, skrip itu otomatis memindai tiap aset di alamatmu — lintas chain, tiap token, NFT — menghitung mana yang paling berharga, lalu menyusun sebuah pop-up dengan cermat yang mendandani "approval atau transfer bernilai tertinggi" agar tampak tak berbahaya seperti "klaim" atau "verifikasi", memancingmu menandatanganinya sekali jalan. Sebagian melangkah lebih jauh, memecah penandatanganan jadi beberapa langkah, memberi iming-iming kecil di awal untuk menurunkan kewaspadaanmu dan menjatuhkan pukulan sebenarnya di langkah terakhir. Seluruh prosesnya sangat terotomasi; dari menghubungkan dompet sampai aset disapu bisa cuma soal puluhan detik.

▶ Uji langsung tim editorial

Untuk mencari tahu persis apa yang ingin dibuat halaman phishing ini agar kamu tandatangani, kami sengaja menyiapkan sebuah dompet kosong (gas beberapa dolar, tanpa aset berharga) dan mengunjungi beberapa situs phishing yang sudah diketahui, sambil terus mengawasi block explorer dan antarmuka "pembacaan" dompet. Pola di beberapa situs nyaris dicetak dari satu cetakan: "Claim" berteriak di mana-mana di halaman, tapi yang sebenarnya diminta dompet untuk kami konfirmasi entah sebuah approval tak terbatas approve, sebuah tanda tangan permit, atau sebuah setApprovalForAll. Yang paling licik lebih dulu memunculkan "tanda tangan verifikasi identitas bebas gas" untuk membuat kami santai, dengan approval sebenarnya baru di pop-up kedua tepat setelahnya. Tentu kami menolak semua. Baris yang paling layak dibawa pulang: saat kamu panik, memelototi halaman itu sia-sia — tunduklah dan baca satu baris niat sebenarnya di pop-up dompet, dan topengnya langsung lepas. Satu kata lagi — jangan jalankan uji ini dengan dompet utamamu; ada risiko kerugian nyata, jadi pakai dompet kosong sekali pakai.

Bertahan dari drainer tak melibatkan ilmu gaib — cukup mengerjakan dengan kokoh apa yang ada di dua bagian sebelumnya: jangan masuk situs mencurigakan, jangan menandatangani hal yang tak kamu pahami, dan isolasi risiko dengan dompet kecil khusus. Sepintar apa pun drainer, ia tetap harus menunggu kamu menekan tombol konfirmasi itu sebelum bisa bertindak. Kendalikan tangan itu dan ia macan kertas.

Monster #4: penipuan frasa benih dan private key

Yang sebelumnya setidaknya masih perlu mengelabuimu menandatangani sesuatu; yang ini langsung menuju kunci induk: mengelabuimu menyerahkan frasa benih atau private key-mu. Begitu berhasil, ia bahkan tak butuh tanda tanganmu — dengan frasa benihmu ia bisa "menyalin" seluruh dompetmu ke perangkat mana pun, dan tiap chain serta aset atas namamu berpindah tangan dalam sekejap. Ini kerugian paling total, karena ia mencuri bukan koin tertentu melainkan kepemilikan seluruh dompet.

Apa sebenarnya frasa benih (biasanya 12 atau 24 kata bahasa Inggris) dan private key, dan kenapa keduanya setara kunci induk, dijelaskan lengkap di keamanan dompet. Di sini kamu hanya perlu mengingat satu garis merah tanpa pengecualian:

✖ Garis merah tanpa pengecualian

Tidak ada airdrop sungguhan, agen dukungan, aktivitas resmi, peningkatan dompet, sinkronisasi, atau pencairan-bekuan yang pernah perlu kamu memberikan frasa benih atau private key. Begitu seseorang meminta — sehebat apa pun alasannya, seresmi apa pun nadanya, sesah apa pun antarmukanya — dia seratus persen penipu. Tutup; tak perlu ragu.

Beberapa kulit umum yang dipakai penipuan ini:

  • Halaman "sinkronisasi / impor dompet" palsu. Bangun halaman yang tampak seperti MetaMask atau dompet Binance, mengaku dompetmu perlu "diverifikasi ulang / disinkronkan", dan meminta kamu memasukkan frasa benih. Begitu kamu mengisinya, kata-kata itu ada di tangan penipu.
  • Dukungan palsu yang "membantu memperbaiki masalah". Kamu mengeluh di suatu grup bahwa dompetmu bermasalah, dan seorang "agen dukungan" atau "admin" langsung DM kamu, dengan ramah menuntunmu ke suatu halaman atau sekadar meminta kamu mengirim frasa benih kepadanya "untuk membantu memulihkannya". Dukungan sungguhan tak akan pernah meminta itu.
  • Aplikasi dompet palsu / ekstensi palsu. Dompet yang diunduh dari sumber tak resmi itu sendiri adalah cangkang; saat kamu membuat atau mengimpor dompet, frasa benihnya langsung dirampas. Maka selalu pasang dompet dari saluran resmi — poin yang ditekankan berulang kali di panduan Dompet Web3 Binance.
  • Kolom input frasa pemulihan "berakurasi tinggi". Sebagian halaman phishing dengan teliti membentangkan 12 / 24 kotak input berjajar, tampak sangat mirip layar impor yang sah untuk menurunkan kewaspadaanmu. Semirip apa pun antarmukanya, logikanya tak berubah: yang asli tak pernah meminta frasa benihmu.

Terus terang, frasa benih seharusnya hidup luring seumur hidupnya; sejak hari kamu menyalinnya, ia seharusnya tak pernah lagi diketik ke halaman web mana pun, kotak obrolan mana pun, atau percakapan dukungan mana pun. Selain satu kasus memulihkan dompetmu di dalam aplikasi dompet yang kamu percayai, apa pun lainnya yang memintanya sedang mengincar seluruh kekayaan bersihmu.

Monster #5: dukungan palsu, akun resmi palsu, grup terjun palsu

Yang ini adalah "saluran akuisisi" bagi semua jurus di atas. Penipu lebih dulu harus membawamu ke halaman phishing, atau memperoleh kepercayaanmu, sebelum bisa menerapkan taktik-taktik sebelumnya. Metodenya sangat rekayasa-sosial:

  • Akun resmi palsu / peniruan berakurasi tinggi. Avatar, nama, dan bio semua disalin dari proyek asli, sebagian bahkan membeli centang biru, membalas "klaim airdrop di sini" di bawah unggahan populer proyek asli, atau langsung mengunggah "airdrop resmi kini aktif". Pemula tak bisa membedakan asli dari palsu dan mengeklik asal.
  • Phishing kolom komentar dan DM. Kamu berkomentar di bawah unggahan terkait kripto, atau baru mengikuti sebuah proyek, dan segera seorang "asisten resmi" atau "spesialis airdrop" DM kamu. Ingat: proyek yang sah nyaris tak pernah DM kamu tautan tanpa diminta. Siapa pun yang datang kepadamu atas inisiatifnya sendiri, anggap penipu secara default.
  • Grup palsu / grup "terjun". Kamu tanpa penjelasan ditambahkan ke sebuah grup yang tampak ramai tempat "kompradin" memamerkan keuntungan dan admin mengunggah "saluran klaim eksklusif". Makin ramai grup, makin keterlaluan pamerannya, makin mendesak buru-burunya — makin kamu harus waspada.
  • Notifikasi "pop-up dompet" palsu. Sebagian NFT atau token di-airdrop ke alamatmu sebagai "notifikasi"; buka dan ia bertuliskan "selamat, kamu menang, klik di sini untuk klaim", tapi sebenarnya cuma mengarahkanmu ke situs phishing.
⚠ Perhatikan

Untuk menilai apakah sumber informasi itu nyata, jangan lihat "seberapa resmi penampilannya" — lihat apakah ia mendorongmu ke aksi berisiko tinggi. Pengumuman resmi yang nyata biasanya cuma menyuruhmu mengecek situs resmi; penipu akan mencari segala cara agar kamu menghubungkan dompet sekarang, tanda tangan sekarang, menyerahkan frasa benih sekarang. Selama ia memburu-burumu melakukan salah satu dari ketiganya, seresmi apa pun penampilannya, anggap penipu lebih dulu.

Begitu kamu bisa mengenali monsternya, kamu bisa terjun dengan lebih percaya diri. Kalau kamu memang ingin berlatih, jangan mulai dari "airdrop" yang asal-usulnya tak jelas — siapkan jalur masuk/keluar dana dan dompetmu lewat saluran yang sah dan kamu akan merasa jauh lebih mantap.
Kode referral Binance BNB3469
▶ Daftar Binance ⚒ Buka Dompet Web3Kode sama BNB3469

* Daftar lewat kode referral kami, potongan biaya 20%.* Persentase potongan sebenarnya sesuai halaman Binance, bisa berubah seiring kebijakan. Harga kripto sangat fluktuatif — ikut serta dengan bijak.

Kalau terlanjur kena, cara menyelamatkan diri: putus, cabut, pindah, catat

Kalau sesuatu benar-benar kacau, jangan membeku. Transaksi on-chain tak bisa dibatalkan, tapi berpacu dengan waktu sering masih bisa menyelamatkan sebagian, terutama kalau penipu belum menyapu semua koin, atau kalau kamu cuma ter-phishing approval alih-alih membocorkan frasa benih. Ingat empat kata: putus, cabut, pindah, catat.

  1. Putus — putuskan koneksi segera. Hal pertama, putuskan koneksi dompet dari situs itu (daftar "situs terhubung" di dompetmu membolehkanmu memutusnya manual), tutup halaman phishing, dan luringkan kalau perlu. Putus dulu interaksi yang sedang berjalan untuk menghentikannya memancingmu ke tanda tangan berikutnya.
  2. Cabut — cabut approval-nya. Kalau kamu menduga menandatangani sebuah approval, segera hubungkan dompet itu ke revoke.cash, cek catatan approval satu per satu, dan cabut approval kontrak mencurigakan itu. Catat: mencabut juga butuh sebuah transaksi dan memakan gas, jadi sisakan sedikit gas di dompet. Makin cepat makin baik — ia memutus jalur untuk "terus dikuras mulai sekarang". Tapi tetap jernih: ia tak bisa memulihkan koin yang sudah disapu, hanya menghentikan pendarahan setelahnya.
  3. Pindah — pindahkan aset yang tersisa. Kalau yang kamu bocorkan adalah frasa benih atau private key, maka mencabut approval tak berguna, karena penipu punya kunci induk. Dalam kasus itu dompet praktis jadi besi tua: segera pindahkan aset berharga yang masih ada ke dompet yang benar-benar baru dan bersih (dibuat di perangkat baru dengan frasa benih baru — jangan pernah memakai ulang set yang bocor). Kamu berpacu dengan penipu; siapa pun yang skrip/tangannya lebih cepat mengambilnya, jadi bergeraklah cepat dan pindahkan yang bernilai tertinggi lebih dulu.
  4. Catat — catat dan selidiki. Setelahnya, pakai block explorer (Etherscan, BscScan) untuk menyisir riwayat transaksi alamat ini, lihat persis apa yang ditandatangani, dari transaksi mana koin keluar, dan ke alamat mana ia pergi, lalu catat. Pertama, untuk memahami batas kerugian dan memastikan apakah masih ada approval lain yang belum dicabut; kedua, kalau-kalau jumlah yang lebih besar terlibat dan kamu perlu melapor atau mengangkatnya ke sebuah platform, bukti on-chain ini berguna.
✖ Penilaian kunci

Persimpangan pertama dalam menyelamatkan diri adalah bertanya pada dirimu: apakah aku membocorkan sebuah "approval", atau "frasa benih / private key"? Hanya ter-phishing approval — dompet masih bisa dipertahankan; cabut approval dan pindahkan asetnya. Kalau frasa benih atau private key bocor — tinggalkan dompet ini sepenuhnya dan pindahkan semua aset ke yang baru, dan jangan pernah memakainya lagi. Salah arah dan kamu membuang jendela penyelamatan.

Tentu, penyelamatan terbaik adalah tidak pernah membiarkannya sampai titik ini. Pisahkan dompet garap airdrop dari uang besarmu, cabut secara berkala, pahami pop-up sebelum tanda tangan, jangan sentuh tautan yang asal-usulnya tak jelas — kebiasaan harian ini seratus kali lebih berguna daripada kalang-kabut setelahnya. Untuk cara membangun lini pertahanan ini, baca tuntas Keamanan Dompet: frasa benih, private key, dompet perangkat keras, dan manajemen approval dan siapkan seluruh perangkat perlindungannya; kalau kamu belum punya gambaran besarnya, kembali ke apa itu airdrop untuk menelusuri seluruh konteks garap airdrop, lalu cek dirimu terhadap 10 kesalahan yang paling sering dibuat penggarap airdrop pemula untuk membersihkan ladang ranjaumu sendiri. Pada misi penipuan, mengenali monster memenangkanmu separuh pertempuran; separuh lainnya adalah kebiasaan yang kamu bangun.

Pertanyaan yang sering diajukan

Aku membuka tautan phishing tapi tak menandatangani apa pun. Apakah aku akan kehilangan koin?

Sekadar membuka halaman dan menghubungkan dompet biasanya belum cukup untuk kehilangan koin. Bahaya sebenarnya adalah saat kamu lanjut mengeklik pop-up dompet seperti "konfirmasi", "tanda tangan", atau "approve". Uang di blockchain tak bergerak karena kamu melirik sebuah situs; ia hanya bergerak karena transaksi atau approval yang kamu tandatangani dengan tanganmu sendiri. Jadi kalau kamu menghubungkan dompet tapi tak menandatangani apa pun, jangan panik — putuskan koneksi, tutup halaman, dan cek di revoke.cash apakah situs itu mencuri approval apa pun.

Apa beda approval approve dengan transfer langsung, dan kenapa approval lebih licik?

Transfer memindahkan koin secara langsung — yang kamu kirim itulah yang keluar, terlihat saat itu juga. Approval (approve) adalah kamu mengizinkan sebuah kontrak untuk "memindahkan token ini milikmu mulai sekarang", mungkin dengan jumlah tak terbatas. Keliciannya, saat kamu tanda tangan, koinmu belum berkurang dan pop-up-nya tak mengkhawatirkan; bahayanya berbuah belakangan: begitu penipu punya approval tak terbatas, mereka bisa menyapu semuanya saat saldomu paling tinggi. Itu sebabnya banyak orang "diretas beberapa hari kemudian".

Setelah ter-phishing approval, apakah mencabut di revoke.cash bisa memulihkan koin yang sudah dicuri?

Tidak. Mencabut approval hanya memutus jalur untuk dikuras "mulai sekarang"; aset yang sudah dipindahkan keluar tak bisa dipulihkan, karena transaksi on-chain tak bisa dibatalkan. Jadi mencabut adalah soal menghentikan pendarahan: kalau approval-nya masih aktif dan koin belum disapu habis, mencabut cepat menyelamatkan sisanya; kalau private key atau frasa benihmu bocor, mencabut tak menolong dan kamu harus meninggalkan seluruh dompet dan memindahkan aset ke dompet yang benar-benar baru.

Kenapa semua penipuan pada akhirnya meminta frasa benih atau private key-ku?

Karena frasa benih dan private key adalah kunci induk dompet; mendapatkannya sama dengan mendapatkan semua aset di semua chain di bawah dompet itu, tanpa perlu tanda tangan lagi darimu. Tidak ada airdrop, agen dukungan, atau aktivitas resmi yang sah yang pernah perlu kamu memberikan frasa benih atau private key. Maka ini garis merah tanpa pengecualian: sehebat apa pun alasannya terdengar, begitu seseorang meminta frasa benih atau private key-mu, dia penipu — tutup saja.

Sebuah token tak dikenal tiba-tiba muncul di dompetku. Apa yang harus kulakukan?

Jangan sentuh, dan terutama jangan klik tautan "situs resmi" atau "klaim" apa pun yang menyertainya. Token asing yang di-airdrop ke alamatmu tanpa diminta, dalam mayoritas besar kasus, adalah umpan: ia memancingmu ke situs phishing untuk menunggu kamu memberi approval atau tanda tangan. Langkah yang benar adalah bersikap seolah ia tak ada — jangan berinteraksi, jangan approve, dan sembunyikan di dompet kalau perlu. Ia tak akan mencuri koinmu sendiri; masalah hanya mulai kalau kamu menyentuh tautannya atau menandatangani sesuatu.

Untuk mengecek dan mencabut approval sendiri, pakai revoke.cash; untuk panduan keamanan resmi sebuah dompet, lihat Pusat Bantuan MetaMask; transaksi on-chain dan aliran dana bisa kamu cek sendiri di block explorer Etherscan dan BscScan; untuk penjelasan konsep mekanisme seperti approve, rujuk Binance Academy dan ethereum.org.

▶ NEXT

Garap misi-misi berikut

Ilustrasi keamanan dompet: frasa benih, private key, dompet perangkat keras, manajemen approval
Keamanan

Keamanan Dompet: Frasa Benih, Private Key & Manajemen Approval

Cara menyimpan frasa benih, memisahkan dompet panas dan perangkat keras, serta cabut berkala untuk mencegah pencurian.

Masuk misi ▶
 Ilustrasi ikhtisar apa itu airdrop
Pemula

Apa Itu Airdrop? Cara Pemula Memainkannya di 2026

Ikhtisar situs: kenapa proyek memberi token, sistem poin, narasi dompet, ekspektasi realistis.

Masuk misi ▶
 Ilustrasi mencairkan koin airdrop kembali ke Binance
Menengah

Cara Mencairkan Token Airdrop

Jual dengan aman, tarik kembali ke bursa, simpan catatan — tuntaskan alur kerjanya.

Masuk misi ▶
 Ilustrasi pembersihan ladang ranjau kesalahan umum garap airdrop pemula
Pemula

10 Kesalahan yang Paling Sering Dibuat Penggarap Airdrop Pemula

Salah jaringan, approval sembarangan, simpan private key asal… satu halaman pembersihan ladang ranjau.

Masuk misi ▶