Ikhtisar

Dengan perkembangan pesat cryptocurrency dan teknologi blockchain, NFT (token non-fungible), sebagai aset digital unik, telah menarik sejumlah besar investor dan kolektor. Namun, seiring dengan pasar yang berkembang pesat terdapat sejumlah risiko yang meningkat.

Pernahkah Anda perhatikan NFT atau aset lain yang tak terduga tiba-tiba muncul di dompet Anda? Barang digital yang tampaknya tidak berbahaya ini mungkin membawa ancaman keamanan serius — bahkan dapat menyebabkan hilangnya dana secara keseluruhan. Artikel ini akan mengungkap bahaya tersembunyi di balik situasi tersebut dan menawarkan saran keamanan praktis untuk membantu Anda melindungi aset digital Anda dengan lebih efektif.

Saat ini, total nilai pasar kriptokurensi dan NFT telah melampaui $3 triliun, dengan lebih dari 300 juta peserta di seluruh dunia. Namun, seiring pasar berkembang, pasar juga telah menjadi target utama bagi peretas dan penipu. Menurut data dari Comparitech (per 13 Maret 2025), penipuan terkait kripto dan NFT telah menyebabkan kerugian sebesar $27 miliar - dan jumlahnya masih terus meningkat.

Sumber: https://www.comparitech.com/crypto/cryptocurrency-scams/(13 Maret 2025)

Mengapa Pemegang NFT adalah Sasaran Utama bagi Para Peretas

1. Daya Tarik Aset Bernilai Tinggi

NFT seringkali memiliki nilai yang signifikan — terutama yang berasal dari koleksi langka atau hype seperti Bored Ape Yacht Club atau CryptoPunks, di mana satu karya bisa bernilai ratusan ribu atau bahkan jutaan dolar.

Aset digital bernilai tinggi ini bertindak seperti “tambang emas” di dunia maya, secara alami menarik perhatian para peretas. Dibandingkan dengan aset keuangan tradisional, transaksi NFT lebih cepat dan lebih sulit dilacak. Setelah dicuri, para peretas dapat dengan cepat menguangkan aset tersebut.

Sumber: https://opensea.io/collection/boredapeyachtclub

2. Anonimitas dan Irreversibilitas Blockchain

Keberadaan anonimitas blockchain memberikan privasi bagi pengguna tetapi juga menciptakan tempat perlindungan bagi peretas. Begitu sebuah NFT atau token dicuri, pencuri dapat dengan cepat mentransfernya ke dompet lain atau mencucinya menggunakan layanan pencampur seperti Tornado Cash.

Karena transaksi blockchain bersifat tidak dapat dibalik, korban memiliki sedikit atau tidak ada kesempatan untuk pemulihan kecuali peretas dengan sukarela mengembalikan aset atau ditangkap oleh penegak hukum. Hal ini membuat serangan terhadap pemegang NFT menjadi strategi berisiko rendah namun memberikan hasil yang tinggi bagi para penjahat dunia maya.

3. Kesadaran Keamanan Pengguna Umumnya Rendah

Banyak pengguna NFT adalah pendatang baru dalam teknologi blockchain dan kripto, kurangnya kesadaran keamanan yang tepat. Mereka mungkin tidak sepenuhnya memahami pentingnya kunci pribadi atau frasa benih, atau tahu bagaimana mengenali situs phishing dan kontrak jahat.

Sebagai contoh, beberapa pengguna mengklik tautan yang mencurigakan tanpa ragu atau menyimpan kunci pribadi mereka di tempat-tempat yang tidak aman seperti catatan telepon atau layanan cloud — semuanya membuka peluang bagi para peretas.

4. Sebuah Ekosistem Kompleks Meningkatkan Paparan

Ekosistem NFT meliputi dompet, platform perdagangan (seperti OpenSea), kontrak pintar, dan media sosial (seperti Discord dan Twitter). Setiap komponen merupakan potensi vektor serangan.

5. Komunitas yang Sangat Aktif dan Penyebaran Informasi yang Cepat

Pengguna NFT biasanya aktif di platform-platform seperti Twitter dan Discord, seringkali membagikan koleksi mereka, catatan perdagangan, atau berpartisipasi dalam acara-acara. Jenis keterlihatan publik ini membuat mereka mudah menjadi target. Sebagai contoh, seseorang yang memamerkan NFT senilai jutaan dolar di Twitter bisa segera menarik perhatian peretas yang kemudian mengirimkan tautan phishing atau menyamar sebagai agen dukungan palsu.

6. Hambatan Teknis Tinggi yang Mengundang Kesalahan

Berinteraksi dengan NFT memerlukan tingkat pengetahuan teknis tertentu — seperti menggunakan MetaMask, memahami biaya gas, dan menandatangani kontrak pintar. Bagi pengguna yang tidak akrab dengan proses ini, mudah untuk membuat kesalahan fatal. Beberapa mungkin tanpa sadar memberikan izin kepada kontrak berbahaya atau beroperasi di lingkungan jaringan yang tidak aman, yang dapat menyebabkan pencurian.

7. Biaya Rendah, Hadiah Tinggi bagi Para Hacker

Dibandingkan dengan serangan dunia maya tradisional seperti meretas sistem bank, menargetkan pengguna NFT relatif murah. Seorang peretas mungkin hanya perlu membuat situs web palsu, mengirim email phishing, atau menyebarkan tautan berbahaya di media sosial — dan mereka bisa mendapatkan akses ke dompet berharga. Begitu sukses, imbalan yang didapat bisa mencapai ribuan hingga jutaan dolar. Pengaturan dengan risiko rendah namun imbalan tinggi ini membuat pengguna NFT menjadi target utama.

Metode Pencurian NFT Umum

Kontrak Pintar Berbahaya

NFT umumnya terkait dengan kontrak pintar, yang mengatur kepemilikan, transfer, dan berbagai interaksi. Pengguna sering menerima NFT dari sumber yang tidak dikenal, seperti media sosial, airdrop, atau situs web.

Meskipun NFT itu sendiri mungkin terlihat tidak berbahaya, kontrak pintar yang mendasarinya mungkin berisi kode berbahaya. Para peretas dapat mengeksploitasi kode ini untuk mendapatkan izin dompet tanpa sepengetahuan Anda, akhirnya menguras semua aset dari dompet Anda.

Sumber: https://trezor.io/support/a/malicious-smart-contracts

Serangan Phishing dan Rekayasa Sosial

Peretas sering membuat situs web palsu, email, atau pesan media sosial untuk mengelabui pengguna agar memasukkan kunci pribadi atau frase benih mereka, atau menyetujui kontrak pintar yang tidak diketahui. Misalnya, Anda mungkin menerima "Pemberitahuan OpenSea" palsu yang meminta Anda untuk "memverifikasi dompet Anda." Tetapi begitu Anda mengklik tautan dan memberikan akses, NFT dan token Anda dapat langsung dicuri.

Selain itu, para peretas menggunakan taktik phishing dan rekayasa sosial untuk mengirimkan NFT jahat langsung ke dompet pengguna. Hanya dengan melihat atau berinteraksi dengan salah satu NFT tersebut dapat memungkinkan para peretas untuk mengeksploitasi kerentanan kontrak pintar, yang berpotensi mengambil alih kontrol atas dompet atau menipu pengguna untuk menandatangani transaksi berisiko tinggi. Selalu verifikasi sumber dari setiap NFT — jangan pernah berinteraksi dengan aset yang tidak dikenal atau mencurigakan.

Di platform seperti Discord dan Telegram, para peretas mungkin menyamar sebagai staf pendukung, pengembang, atau anggota komunitas, mengklaim bahwa mereka dapat membantu "memperbaiki" masalah dompet. Mereka kemudian membujuk pengguna untuk mengungkapkan frasa biji mereka, akhirnya mencuri aset mereka.

Sebagian besar proyek NFT utama kini menyertakan saluran “Laporan Penipuan” di server mereka. Sejak Juli 2021, lebih dari 75.000 pesan telah tercatat di saluran-saluran ini di berbagai platform NFT — dengan 76% di antaranya dikirim hanya pada tahun 2022.

Sumber: https://beinsure.com/nft-thefts-and-financial-crime-7-types-of-scams-in-non-fungible-tokens/

Hacker juga menggunakan teknik "tanda tangan buta" melalui eth_sign untuk mencuri aset. Berbeda dengan transaksi phishing tradisional yang menampilkan data transaksi yang jelas dan menimbulkan biaya gas, tanda tangan buta hanya menampilkan rangkaian teks yang samar - membuatnya sangat menipu. Begitu pengguna menandatangani, hacker dapat segera mentransfer token dari dompet.

Sumber: https://support.token.im/hc/id-id/articles/18676133507993-Security-Alert-Beware-of-Eth-Sign-Blind-Signing-Scams

Proyek NFT Palsu

Beberapa peretas menyamar sebagai proyek NFT populer untuk memikat pengguna agar membeli atau berinteraksi dengan platform palsu. Begitu Anda menghubungkan dompet Anda ke salah satu situs web berbahaya ini, itu bisa memicu kontrak pintar yang dirancang untuk mencuri aset Anda.

Penipu sering memanfaatkan fungsi SetApprovalForAll() dalam standar ERC-721 dan ERC-1155, menipu korban untuk tanpa disadari memberikan kontrol penuh atas NFT mereka. Setelah disetujui, peretas dapat mentransfer aset kapan saja tanpa input pengguna lebih lanjut. Oleh karena itu, sebelum berinteraksi dengan proyek NFT apa pun, selalu verifikasi keasliannya dan gunakan secara teratur alat sepertiRevoke.cashuntuk meninjau dan menghapus persetujuan yang tidak perlu.

Sumber: https://playtoearn.com/news/metamask-kini-menguji-jendela-konfirmasi-setapprovalforall-untuk-membatasi-penipuan-nft

Kode Jahat, Perangkat Lunak, dan Pencurian Tersembunyi

Menginstal perangkat lunak atau ekstensi browser yang tidak dikenal (seperti plugin palsu MetaMask) dapat menginfeksi perangkat Anda dengan malware yang mampu mencuri kunci pribadi atau melacak aktivitas Anda.

Selain kontrak pintar jahat, beberapa NFT dan aset digital mungkin mengandung skrip yang dieksekusi saat dilihat atau berinteraksi. Sebagai contoh, hanya dengan mengklik NFT ini mungkin menjalankan kode yang mentransfer aset ke alamat yang dikendalikan oleh peretas. Meskipun skrip ini biasanya tidak langsung mengompromikan keamanan perangkat, namun dapat diam-diam menguras dompet Anda.

Penipuan Bundel NFT dengan Barang Tiruan

Hacker seringkali membuat bundel NFT palsu yang mencakup baik barang palsu berkualitas tinggi atau NFT yang disematkan dengan kontrak berbahaya. Bundel-bundel ini menggoda pengguna dengan harga rendah dan janji untuk menghemat biaya gas. Namun, menginisiasi transaksi mungkin diam-diam mengotorisasi SetApprovalForAll(), memberikan para hacker kendali penuh atas dompet pengguna.

Sebagai contoh, saat membeli bundel NFT di OpenSea, selalu verifikasi sumber dari masing-masing NFT dan kontrak yang terkait. Biaya gas 'penghematan' itu bisa berubah menjadi kesalahan yang mahal.

Sumber: https://opensea.io/collection/boredapeyachtclub

Penipuan Pump-and-Dump

Penipu secara artifisial meningkatkan harga NFT dengan membesar-besarkan proyek melalui media sosial atau dukungan selebriti, menciptakan rasa permintaan palsu. Begitu harga mencapai puncak, pihak dalam menjual kepemilikan mereka, menyebabkan kejatuhan pasar dan meninggalkan pembeli dengan aset yang terdepresiasi.

Untuk menghindari skema semacam itu, selalu periksa riwayat transaksi NFT. NFT yang sah biasanya memiliki basis pembeli yang terdiversifikasi dan aktivitas organik.

Tarik Karpet

Dalam penipuan ini, pengembang memikat pengguna untuk membeli NFT dengan janji-janji besar, hanya untuk menghilang setelah mengumpulkan dana. Ini sering melibatkan tim anonim dengan peta jalan yang mencolok dan tanpa niat nyata untuk memberikan.

Sebagai contoh, pada tahun 2021, para pencipta Evil Ape menghilang setelah berhasil mengumpulkan hampir $3 juta. Demikian pula, pada tahun 2022, proyek NFT Frosties menipu investor sebesar $1,3 juta. Meskipun pelaku akhirnya ditangkap dan didakwa, NFT dan dana yang dicuri tidak pernah dikembalikan.

Untuk menghindari penipuan, prioritaskan proyek-proyek dengan tim yang transparan, akuntabel, dan memiliki rencana kerja yang realistis. Pastikan bahwa pengembangan berjalan sesuai yang dijanjikan.

Sumber: https://www.cbr.com/evolved-apes-nft-disappears-3-million/

Tawaran NFT palsu

Penipu mungkin menyamar sebagai platform sah dan mengirimkan email phishing kepada pemegang NFT, mempromosikan penawaran palsu atau diskon. Email-email ini mengarah ke situs phishing yang dirancang untuk mencuri kredensial login atau frasa benih.

Untuk melindungi diri Anda, selalu verifikasi alamat email pengirim dan secara manual navigasikan ke platform resmi Gate.io di peramban Anda. Jangan pernah klik tautan mencurigakan dari email, bahkan jika terlihat sah.

Kasus Penipuan NFT Dunia Nyata

1. Berinteraksi dengan NFT yang Mencurigakan — AJ Kehilangan $41,300 (2021)

Pada 21 September 2021, pengguna X AJ (@babbler_dabbler) tweet bahwa dompetnya telah diretas, termasuk pencurian Mata Uang, sebuah NFT karya seniman terkenal Damien Hirst. Menurut AJ, kesalahannya hanya berinteraksi dengan NFT yang tidak dikenal yang tiba-tiba muncul di dompetnya. Tindakan tersebut memicu pelanggaran dompet, yang mengakibatkan kehilangan 13,75 ETH — kira-kira $41.300.

Sumber: https://x.com/babbler_dabbler/status/1439987074594217986

2. NFT Bored Ape Jay Chou Dicuri (2022)

Pada bulan April 2022, bintang pop Taiwan Jay Chou mengungkapkan di media sosial bahwa NFT Bored Ape Yacht Club miliknya telah dicuri. NFT tersebut diperkirakan bernilai sekitar $500.000. Chou menyatakan bahwa pencurian terjadi setelah ia tanpa sadar mengklik tautan phishing.

Para peretas kemungkinan menggunakan rekayasa sosial, mungkin menyamar sebagai penggemar atau staf proyek, untuk mengirimkan tautan berbahaya. Setelah mengkliknya, Chou tanpa sadar menyetujui kontrak pintar berbahaya, memungkinkan peretas untuk mentransfer NFT. Aset tersebut cepat terjual beberapa kali, membuatnya sangat sulit dilacak.

Sumber: https://cnalifestyle.channelnewsasia.com/entertainment/jay-chou-bored-ape-nft-stolen-308766

3. Serangan Phishing OpenSea (2022)

Pada awal 2022, pengguna pasar NFT OpenSea menjadi korban kampanye phishing besar-besaran. Para peretas mengirimkan email palsu dan membuat situs web palsu, menarik pengguna untuk menandatangani kontrak pintar berbahaya. Dalam hitungan jam, penyerang mencuri 254 NFT senilai sekitar $2.5 juta, termasuk barang berharga dari Bored Ape Yacht Club dan Decentraland.

Peretas menyamar sebagai OpenSea dalam email, memperingatkan pengguna tentang “masalah keamanan akun” dan mendorong mereka untuk “memverifikasi” atau “migrasi” NFT mereka. Banyak pengguna gagal memverifikasi keabsahan tautan dan diarahkan ke situs phishing, di mana mereka tanpa sadar menyetujui kontrak jahat yang menyebabkan pencurian aset.

Sumber: https://www.halborn.com/blog/post/dijelaskan-hack-phishing-opensea-februari-2022

4. Penipuan NFT Moonbirds - $1.5 Juta Dicuri (Mei 2022)

Hacker menyebarkan tautan berbahaya yang menipu pengguna untuk menandatangani transaksi. Hal ini mengakibatkan pencurian 29 Moonbirds NFT, bernilai sekitar 750 ETH — sekitar $1,5 juta pada saat itu.

Sumber: https://x.com/CirrusNFT/status/1529296043547865088

5. Penipuan Deepfake Suara AI (2023)

Pada pertengahan 2023, para peretas menggunakan kecerdasan buatan untuk meniru suara para eksekutif perusahaan dan menipu anggota tim keuangan untuk mentransfer sejumlah uang besar. Menurut laporan tahun 2023 dari TRM Labs dan perusahaan analisis blockchain Chainalysis, dana tersebut — yang totalnya mencapai beberapa juta dolar — dicuci melalui pencampur kripto.

Sumber:https://www.cnbc.com/2025/02/13/crypto-scams-thrive-in-2024-on-back-of-pig-butchering-and-ai-report.html

6. Protokol Orbit Bridge Cross-Chain Diretas — $80 Juta Dicuri (31 Desember 2023)

Pada malam Tahun Baru 2023, para peretas memanfaatkan kerentanan dalam jembatan lintas-rantai Orbit Bridge, mencuri lebih dari $80 juta aset kripto (termasuk ETH dan USDC). Pelanggaran ini diduga akibat kebocoran kunci insider. Sebagian dari dana yang dicuri dicuci melalui protokol terdesentralisasi.

Sumber:https://x.com/bitinning/status/1741783830372155620

7. Kebocoran Kunci Pribadi Bitcoin DMM - Pencurian $300 Juta (31 Mei 2024)

Bursa pertukaran DMM Bitcoin yang telah lama berdiri di Jepang mengalami pelanggaran sejarah ketika peretas menggunakan kunci pribadi yang bocor untuk mentransfer Bitcoin senilai $300 juta ke lebih dari 10 alamat terpisah. Bursa tersebut mencoba pelacakan on-chain dan pembekuan aset, tetapi para penyerang menggunakan pencampur untuk membersihkan dana, menyoroti kelemahan serius dalam keamanan kunci pribadi dan praktik pengelolaan kustodian.

Sumber: https://www.elliptic.co/blog/dmm-bitcoin-loses-308-million-in-unauthorized-leak

Bagaimana Melindungi Aset Digital Anda

Di dunia blockchain, ancaman keamanan ada di mana-mana. Membangun sistem pertahanan berlapis — yang terdiri dari isolasi fisik, perlindungan operasional, dan tanggapan darurat — dapat secara signifikan mengurangi risiko pencurian aset.

Layer 1: Isolasi Fisik (Dompet Keras & Diversifikasi Aset)

1. Gunakan dompet hardware (misalnya, Ledger, Trezor) untuk menyimpan aset bernilai tinggi.
2. Dompet keras terisolasi dari internet dan mengotorisasi transaksi hanya ketika terhubung secara fisik dan dikonfirmasi, sangat mengurangi risiko peretasan dari jarak jauh.
3. Hindari menyimpan sejumlah besar kripto di dompet panas (misalnya, MetaMask) untuk jangka waktu yang lama.
4. Sebarkan aset Anda di beberapa dompet untuk mencegah titik kegagalan tunggal.
5. Pisahkan dompet berdasarkan kasus penggunaan (misalnya, dompet perdagangan, dompet penyimpanan jangka panjang, dompet penggunaan harian).
6. Simpan aset kritis di dompet dingin (penyimpanan offline) untuk menghindari paparan terhadap serangan online.

Sumber:https://www.ledger.com/

Layer 2: Perlindungan Operasional (Persetujuan Hati-hati & Pemeriksaan Kontrak Pintar)

Berhati-hatilah dengan tautan dan hindari penipuan

1. Hati-hati dengan serangan phishing:
   Tim resmi tidak akan pernah meminta kunci pribadi atau frasa benih Anda melalui Telegram, Discord, atau DM X (Twitter). Permintaan informasi ini adalah penipuan.

2. Memverifikasi keaslian proyek:
   Sebelum berinteraksi, periksa ulang media sosial proyek, pengumuman resmi, dan sumber-sumber untuk memastikan keabsahan.

3. Kelola Persetujuan Kontrak Pintar dengan Hati-hati
   Periksa ulang URL situs web dan alamat kontrak sebelum menghubungkan dompet Anda atau menandatangani transaksi apa pun. Situs web palsu dan kontrak jahat merupakan ancaman besar.
   Gunakan alat seperti Revoke.cash atau Pemeriksa Persetujuan Token Etherscan untuk secara rutin mencabut izin kontrak pintar yang tidak perlu, membatasi potensi peretas untuk mengeksploitasi kontrak yang telah disetujui sebelumnya.

4. Audit Keamanan Smart Contract
   Sebelum berpartisipasi dalam pencetakan NFT atau proyek DeFi, gunakan alat audit (misalnya, CertiK, PeckShield, SlowMist) untuk menilai keamanan kontrak pintar. Ini membantu menghindari paparan terhadap kode berbahaya atau kerentanan yang dapat dieksploitasi.

Sumber: https://etherscan.io/address/0xbc4ca0eda7647a8ab7c2061c2e118a18a936f13d

Lapisan 3: Tanggapan Darurat (Jika Dompet Anda Dikompromikan)

Jika Anda menemukan aktivitas mencurigakan atau aset telah dicuri, segera ambil tindakan:

1. Buat dompet baru: Hasilkan kunci pribadi baru dan simpan frasa biji dompet baru dengan aman menggunakan dompet keras.
2. Membatalkan persetujuan kontrak jahat: GunakanRevoke.cashatau halaman Persetujuan Token Etherscan untuk membatalkan izin untuk kontrak-kontrak yang mencurigakan untuk mencegah kerugian lebih lanjut.
3. Transfer aset yang tersisa: Pindahkan dengan cepat dana yang tersisa dari dompet yang kompromi ke dompet aman baru yang telah Anda buat.
4. Periksa perangkat Anda dari malware: Jalankan pemindaian virus dan malware menyeluruh di komputer dan ponsel Anda untuk memastikan perangkat Anda tidak terinfeksi.
5. Aktifkan otentikasi dua faktor (2FA): Aktifkan 2FA untuk semua akun terkait kripto — termasuk pertukaran dan layanan dompet — untuk menambahkan lapisan keamanan tambahan.

Sumber:https://revoke.cash/

Tetap Rasional — Hindari Perangkap FOMO

Jangan Ikuti Hype Secara Membabi Buta: Sebelum berpartisipasi dalam proyek apa pun, evaluasi nilai jangka panjangnya alih-alih didorong murni oleh sentimen pasar.

Periksa Informasi Tanda Tangan dengan Hati-hati: Saat menandatangani transaksi, selalu verifikasi isi tanda tangan untuk memastikan tidak mengungkapkan kunci pribadi Anda atau memberikan izin berbahaya.

Di dunia kripto, keamanan adalah prioritas utama. Menguasai sistem pertahanan tiga lapis ini akan secara signifikan meningkatkan perlindungan aset Anda dan meminimalkan risiko yang tidak perlu.

Kesimpulan

NFT dan aset digital menawarkan peluang yang belum pernah terjadi sebelumnya, tetapi juga memiliki kekhawatiran keamanan yang serius. Di dunia digital ini, menjaga dompet Anda sama pentingnya dengan melindungi rekening bank di dunia fisik. Sementara para peretas terus mengembangkan taktik mereka, tetap waspada dan memahami praktik keamanan yang mendasar dapat secara efektif mengurangi risiko.

Peretas menargetkan pengguna NFT terutama karena daya tarik aset bernilai tinggi, ketidakbisaan transaksi blockchain, dan kesadaran keamanan pengguna yang umumnya lemah. Untuk mengatasi risiko-risiko ini, sangat penting untuk membangun dasar keamanan yang kokoh—gunakan dompet dingin, secara teratur melakukan audit izin, dan simpan kunci pribadi dengan aman. Keamanan tetap menjadi garis pertahanan paling kritis dalam ekosistem NFT. Hanya dengan tetap waspada Anda bisa benar-benar melindungi kekayaan digital Anda.