Perusahaan keamanan siber Malwarebytes Labs mengeluarkan peringatan darurat pada hari Selasa, tentang sebuah situs palsu dengan domain “pudgypengu-gamegifts[.]live” yang sedang menyamar sebagai permainan browser Pudgy World yang baru diluncurkan pada 10 Maret, dan berusaha mencuri kata sandi dompet cryptocurrency.
Metode serangan phishing yang sangat canggih: menyalin 11 antarmuka dompet
Insinyur riset malware senior Malwarebytes, Stefan Dasic, menjelaskan secara rinci logika desain serangan ini dalam laporannya. Beberapa fitur Pudgy World (seperti verifikasi kepemilikan NFT atau membuka kunci konten permainan) memerlukan pemain untuk menghubungkan dompet crypto mereka, dan penyerang memanfaatkan langkah yang masuk akal ini untuk menipu:
“Website phishing ini memanfaatkan proses ini. Ketika pengunjung memilih dompet mereka di situs palsu, halaman akan menampilkan tampilan yang tampak seperti antarmuka pembuka kunci dompet asli. Bagi pengguna, ini tampak sama sekali seperti perangkat lunak dompet crypto yang mereka kenal dan percayai.”
Dasic juga menunjukkan bahwa serangan ini sangat mengesankan dari segi sumber daya teknis—penyerang telah membuat 11 antarmuka pengguna (UI) yang meniru berbagai dompet berbeda, hampir tidak ada dompet yang tidak menjadi sasaran. Baik pengguna yang memiliki Ethereum, Solana, maupun aset multi-chain lainnya, akan menerima antarmuka pembuka kunci dompet palsu yang sangat realistis. Ia berpendapat bahwa pembuatan 11 set UI palsu ini “bukanlah hal yang mudah,” yang menunjukkan kemungkinan adanya “aktor ancaman yang memiliki sumber daya melimpah,” atau penggunaan kembali paket alat phishing komersial yang dirancang khusus untuk serangan semacam ini.
Latar belakang merek Pudgy World dan risiko keamanan yang saling terkait
Pudgy World adalah permainan browser gratis yang didasarkan pada merek NFT Pudgy Penguins, di mana pemain dapat menjelajahi dunia virtual, menyesuaikan avatar penguin, dan menyelesaikan misi. Sejak diakuisisi oleh CEO Luca Netz pada tahun 2022, Pudgy Penguins telah berkembang dari sekadar koleksi NFT menjadi merek konsumen yang mencakup produk ritel, permainan mobile, dan permainan web.
Namun, Pudgy Penguins sebelumnya juga pernah menjadi sasaran serangan serupa. Pada Desember 2024, perusahaan keamanan blockchain Scam Sniffer memperingatkan bahwa penyerang pernah menggunakan iklan Google berbahaya untuk menyamar sebagai platform Pudgy Penguins dan menipu pengguna agar menghubungkan dompet mereka. Para peneliti menunjukkan bahwa serangan semacam ini biasanya muncul bersamaan dengan peristiwa besar dari proyek NFT terkenal, yang menarik banyak pengguna baru dan menciptakan peluang terbaik bagi serangan.
Saran perlindungan: bagaimana menghindari menjadi korban
Malwarebytes memberikan langkah-langkah perlindungan berikut bagi pengguna Pudgy World:
- Hanya akses situs resmi melalui bookmark: hindari masuk ke permainan melalui tautan dari mesin pencari atau media sosial.
- Waspadai munculnya permintaan kata sandi dompet: permintaan kata sandi yang sah tidak akan pernah muncul di konten web; jika halaman meminta memasukkan kata sandi di browser, segera hentikan tindakan.
- Jangan klik tautan di pesan pribadi atau media sosial: tautan resmi dari proyek crypto harus diperoleh langsung dari Twitter/X resmi atau Discord yang dipasang di pin.
- Tindakan darurat jika sudah memasukkan kredensial: jika memasukkan kredensial dompet di situs yang mencurigakan, segera ubah kata sandi dompet; jika curiga dompet telah disusupi, pertimbangkan untuk memindahkan aset ke alamat dompet baru.
Pertanyaan umum
Bagaimana memastikan bahwa saya mengakses Pudgy World yang asli dan bukan situs palsu?
Caranya termasuk membandingkan domain dengan domain resmi Pudgy Penguins (perhatikan karakter tambahan atau tanda hubung), mendapatkan tautan permainan langsung dari Twitter/X resmi atau Discord, dan menyimpan alamat resmi di bookmark daripada mencarinya kembali melalui mesin pencari setiap kali.
Mengapa penyerang langsung bertindak setelah permainan baru diluncurkan?
Stefan Dasic dari Malwarebytes menjelaskan bahwa waktu serangan sengaja dipilih—peluncuran permainan baru menarik banyak pengguna baru yang belum terbiasa dengan proses menghubungkan dompet, sehingga mereka lebih mudah lengah. Selain itu, lonjakan pencarian untuk permainan baru membuat situs palsu lebih mudah muncul di hasil pencarian teratas.
Data FBI menunjukkan bahwa kerugian akibat penipuan phishing pada 2024 melebihi 70 juta dolar. Seberapa besar risiko bagi pengguna crypto?
Biro Investigasi Federal (FBI) melaporkan bahwa pada 2024, ada 193.407 laporan penipuan phishing dan penipuan lainnya, dengan kerugian lebih dari 70 juta dolar, belum termasuk banyak kasus yang tidak dilaporkan. Pengguna crypto berisiko lebih tinggi karena sifat anonimitas dan ketidakmampuan membatalkan transaksi—setelah aset dipindahkan ke alamat penyerang, hampir tidak mungkin untuk mendapatkannya kembali.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Penipu Polisi Palsu Memaksa Pasangan Prancis Memindahkan Hampir $1M dalam Bitcoin
Penjahat yang menyamar sebagai polisi di Prancis memaksa sepasang suami istri untuk memindahkan hampir $1M dalam Bitcoin, dengan menggunakan rasa takut dan otoritas dalam "serangan kunci pas" yang mengeksploitasi manusia, bukan dompet.
Abstrak: Pelaku menggunakan penyamaran dan pemaksaan psikologis untuk memaksa pemindahan Bitcoin, menyoroti serangan kunci pas yang menargetkan kerentanan manusia alih-alih eksploitasi teknis pada dompet.
GateNews9menit yang lalu
Upaya Perampokan Bersenjata terhadap Profesional Kripto Prancis Digagalkan; Tersangka Ditangkap
Pesan Gate News, 21 April — Seorang profesional industri kripto berusia 40 tahun di Saint-Jean-de-Védas, dekat Montpellier, Prancis, menggagalkan upaya perampokan bersenjata di rumahnya. Pelaku, menyamar sebagai petugas pengantaran, masuk ke tempat tinggal dan menuntut agar korban menyerahkan kunci privat dompet mata uang kripto
GateNews33menit yang lalu
KelpDAO $290M Eksploit yang Dikaitkan dengan Grup Lazarus Korea Utara
LayerZero menuduh $290 juta eksploitasi yang menimpa konfigurasi rsETH lintas-rantai KelpDAO, dilakukan oleh Grup Lazarus Korea Utara pada 18 April, dengan menggambarkan penyerang sebagai “aktor negara yang sangat canggih.” Menurut LayerZero, insiden tersebut terbatas pada pengaturan rsETH milik KelpDAO dan tidak menyebar ke lainnya
CryptoFrontier1jam yang lalu
Penipu Menyamar sebagai Otoritas Iran Menuntut Pembayaran Bitcoin, USDT dari Kapal di Selat Hormuz
Pesan Berita Gate, 21 April — Penipu yang menyamar sebagai otoritas Iran telah menargetkan perusahaan pelayaran dengan kapal yang terdampar di sebelah barat Selat Hormuz, menuntut pembayaran Bitcoin dan Tether (USDT) sebagai imbalan atas pelayaran yang aman, menurut firma risiko maritim Marisks.
Para penipu
GateNews1jam yang lalu
BIS Memperingatkan Stablecoin Berdolar AS seperti USDT dan USDC Menimbulkan Risiko Stabilitas Keuangan
Berita Gate, 21 April — Bank for International Payments (BIS) telah mengulangi kekhawatirannya terhadap stablecoin, dengan Direktur Pelaksana Pablo Hernandez de Cos memperingatkan bahwa stablecoin yang didenominasikan dolar seperti USDT dan USDC pada dasarnya jauh lebih berisiko daripada yang umumnya dipersepsikan.
Cos menyatakan bahwa
GateNews2jam yang lalu
