Analisis Kasus Penipuan Kripto: Bagaimana $1,93 miliar Menguap dalam 6 Bulan
Alat penguras tidak mencuri frasa benih Anda. Alat itu mencuri tanda tangan. Cukup satu klik — satu klik pada tombol "Claim", "Verify", atau "Connect Wallet" yang salah — dan serangkaian kontrak pintar yang sudah disiapkan sebelumnya akan mengosongkan saldo Anda sebelum Anda sempat mengangkat jari dari trackpad.
Apa sebenarnya yang dimaksud dengan "drainer"?
A penguras kripto adalah alat possibly phishing yang dirancang khusus untuk Web3. Alat ini tidak berusaha mencuri kata sandi Anda atau mengekstrak kunci pribadi. Sebaliknya, alat ini akan membuat Anda menandatangani transaksi — biasanya sebuah approve(), setApprovalForAll(), atau di luar rantai Permit pesan — yang memberikan izin kepada penyerang untuk memindahkan aset Anda sesuka hati. Dompet tersebut tetap "milik Anda". Namun, dana di dalamnya tidak.
Model ini sangat efisien karena memanfaatkan secara berlebihan sah elemen dasar blockchain. Kunci pribadi Anda tidak akan pernah bocor. Tidak ada malware di perangkat Anda. Hanya ada satu tanda tangan, pada satu transaksi, yang akan dilihat oleh para analis on-chain dan dampaknya tidak dapat dibatalkan oleh pihak mana pun.
Menurut Chainalysis, drainer adalah "alat possibly phishing yang dirancang untuk ekosistem web3" yang menyamar sebagai dApp yang sah. Group-IB, Penelitian Check Point, dan ScamSniffer telah mendokumentasikan ribuan kampanye yang dibangun berdasarkan mekanisme ini tepatnya.
Rantai serangan 6 langkah
Setiap serangan drainer — Inferno, Pink, Angel, MS, CLINKSINK, Rugging, dan puluhan fork yang tak bernama — mengikuti enam tahap yang sama. Keahliannya terletak pada kemampuan memadatkan semua tahap tersebut ke dalam hitungan detik antara koneksi dompet dan transaksi yang dikonfirmasi.
1. Umpan
Airdrop palsu, iklan bersponsor di Google/X, akun terverifikasi yang diretas (yang Akun SEC dan Mandiant (keduanya pernah digunakan sebagai "drainer megaphones"), bot verifikasi [REDACTED], pencetakan NFT palsu, undangan beta "eksklusif", dan penipuan lisensi IP. Apa pun modus operandinya, tujuannya adalah untuk mengarahkan Anda ke domain yang dikendalikan oleh penyerang.
2. Sambungkan
Anda mengklik "Connect Wallet". [REDACTED], Rabby, WalletConnect, [REDACTED] — semuanya baik-baik saja, sesuai harapan. Skrip JavaScript "drainer" kini memiliki akses baca ke objek dompet Anda melalui window.ethereum (atau yang setara), dan mulai menembak eth_call permintaan yang berjalan di latar belakang.
3. Pengintaian
Alat ini mencantumkan seluruh aset Anda: saldo native, token ERC-20, koleksi NFT, serta posisi DeFi di berbagai rantai blok. Alat ini mengakses orakel harga bergaya CoinGecko untuk mengonversi nilai semua aset ke dolar AS. Paket premium seperti Inferno Drainer menyimpan konfigurasi mereka di dalam rantai (BNB Chain) sehingga dapat diperbarui tanpa perlu melakukan redeploy terhadap payload JS.
4. Tanda
dApp tersebut meminta Anda untuk "Memverifikasi kepemilikan", "Mengklaim airdrop", "Menyetujui penarikan", atau "Menandatangani untuk masuk". Antarmuka dompet menampilkan pesan yang tampak tidak berbahaya. Pada kenyataannya, data panggilan (calldata) tersebut dipilih dengan cermat untuk memaksimalkan kerugian — lihat bagian berikutnya.
5. Tiriskan
Begitu tanda tanganmu tertera, penyerang itu langsung menelepon transferFrom() dari dompet terpisah (pemisahan operasional — "Alamat" yang menerima persetujuan tersebut bukanlah "Penerima" yang menyimpan hasil jarahan). Paket Premium menggabungkan transfer ETH asli, token ERC-20, NFT ERC-721/1155, dan transfer Permit2 dalam satu multicall. Latensi bersih dari penandatanganan hingga pergerakan dana: detik.
6. Mencuci
Dana dialirkan melalui SushiSwap / Uniswap (DEX yang sah secara sengaja dimasukkan ke dalam daftar putih oleh sebagian besar alat keamanan), kemudian melalui jembatan ke rantai lain, lalu melalui cabang-cabang Tornado Cash, dan akhirnya ke Monero. The $284M [REDACTED] incident dalam hitungan jam sudah masuk ke XMR.
Dompet Anda (sebelum menandatangani)
Kontrak penyerang (setelah satu tanda tangan)
Satu yang ditandatangani Permit2 Pesan tersebut dapat mengesahkan seluruh batch. Tidak ada konfirmasi kedua. Tidak ada pemulihan.
Empat muatan mematikan
Setiap drainer di alam liar menggunakan kombinasi dari keempat elemen dasar ini. Masing-masing merupakan sebuah sah Standar ERC atau metode RPC. Tidak ada "solusi cepat" — yang ada hanyalah kesadaran.
1. approve(spender, type(uint256).max) — Pengeluaran tak terbatas sesuai standar ERC-20
Yang klasik. Anda menyetujui kontrak token dengan jumlah maksimum yang memungkinkan (2^256 − 1) ke alamat penerima yang tidak Anda kendalikan. Penerima — yaitu penyerang — kemudian memanggil transferFrom(you, attacker, balance) sesuai keinginan mereka. Persetujuan tersebut berlaku selamanya kecuali jika Anda secara tegas mencabutnya melalui Revoke.cash atau kontrak token itu sendiri.
2. setApprovalForAll(operator, true) — koleksi NFT lengkap
Lebih buruk daripada persetujuan ERC-20, karena ini sistem "semua atau tidak sama sekali" per koleksi. Satu tanda tangan = semua NFT dalam kontrak tersebut kini dapat dipindahkan oleh penyerang. Inilah cara Seth Green kehilangan 4 Bored Apes pada tahun 2022 dan cara seorang korban kehilangan 14 BAYC akibat penipuan lisensi palsu "Forte Pictures" pada Desember 2022.
3. EIP-2612 / Tanda tangan off-chain Permit2
Ini adalah Senjata andalan periode 2024–2026. Alih-alih menggunakan sistem on-chain approve() (yang menghabiskan gas dan dampaknya terasa jelas di dompet Anda), penyerang mengumpulkan tanda tangan EIP-712 di luar rantai melalui eth_signTypedData_v4. Tidak ada transaksi. Tidak ada biaya gas dari pihak Anda. Hanya muncul jendela pop-up yang bertuliskan "Tandatangani pesan ini". Antarmuka dompet untuk penandatanganan data yang diketik memang terkenal sulit dibaca, dan Uniswap’s Izin2 mengubah satu tanda tangan menjadi persetujuan untuk beberapa token sekaligus.
Lihat Studi kasus Permit2 selengkapnya dari Blockaid untuk panduan langkah demi langkah serangan yang sebenarnya, termasuk trik perutean SushiSwap yang menyembunyikan pengalihan ETH di balik proses pertukaran yang tampak biasa.
4. Rekayasa sosial langsung melalui frasa benih
Secara teknis, ini bukan "drainer" menurut definisi sempitnya — namun merupakan varian dengan hasil tertinggi pada tahun 2026. Yang Insiden [REDACTED] Januari 2026 Tidak ada enkripsi yang dilewati. Seorang "petugas dukungan" menelepon korban, memandu mereka melalui proses "verifikasi" palsu, dan membuat mereka membacakan seed pemulihan. Hasilnya: 1.459 BTC + 2,05 juta LTC = $284 juta, 71% dari seluruh kerugian akibat pencurian kripto pada bulan tersebut, telah dikonversi ke Monero sebelum berita tersebut menjadi sorotan media.
Dompet perangkat keras mencegah pengambilan kunci dari jarak jauh. Namun, dompet tersebut tidak mencegah Anda memasukkan frasa benih ke situs web penipu. Gunakan sebuah Kata sandi BIP-39.
Ekonomi "Drainer-as-a-Service"
Tak satu pun dari para pelaku yang benar-benar mencuri uangmu yang menulis kode tersebut. Mereka sewa Itu. Drainer-as-a-Service (DaaS) merupakan pasar B2B yang sepenuhnya telah menjadi komoditas, dengan strategi branding, tingkatan harga, saluran dukungan, rilis versi, serta tekanan yang jelas untuk menurunkan komisi operator.
Biaya pendaftaran untuk afiliasi: a $5,000–$10,000 deposit, terkadang berupa paket siap pakai untuk hal yang sama. Afiliasi tersebut menyimpan 75–95% dari dana yang dicuri dan menyerahkan semua urusan teknis — muatan JS, kontrak pintar, hosting, Pipeline pencucian uang, bahkan dukungan [REDACTED] 24/7 — kepada operator. SentinelOne dan Studi akademis IMC 2025 melacak rantai pasokan secara terperinci.
Inilah sebabnya mengapa penghapusan sesekali yang bersifat “whack-a-mole” tidak cukup — dan mengapa penyedia layanan pendaftaran domain yang mengabaikan kasus penyalahgunaan adalah titik kemacetan yang sesungguhnya. THE ENABLERS REGISTRY telah mendokumentasikan dan melaporkan Lebih dari 16.000 domain yang terkait dengan Inferno sendiri.
Hal-hal yang perlu diwaspadai sebelum menandatangani
Kotak dialog tanda tangan merupakan garis pertahanan terakhir. Jika salah satu dari hal berikut ini benar, batalkan — tidak ada alur yang sah yang mengharuskannya:
- Anda tiba di sini melalui hasil pencarian bersponsor, pesan langsung (DM), atau tautan dalam email. Hasil pencarian terkait kripto yang disponsori telah dimanipulasi di setiap mesin pencari utama. Selalu akses situs tersebut melalui bookmark.
- Tanda tangan tersebut bersifat "gratis" / "tanpa biaya gas" / "off-chain". Itu adalah tanda tangan off-chain bergaya Permit2. Bacalah bidang-bidang data yang telah diketik. Jika
spenderjika terasa asing, tinggalkan saja. - Jumlahnya adalah
uint256.max,0xfff…fff, atau "tak terbatas". Hampir tidak ada alur kerja yang sah yang memerlukan persetujuan tanpa batas. - Fungsinya adalah
setApprovalForAllpada koleksi yang tidak Anda kenali. Atau untuk "operator" yang bukan [REDACTED] / Blur / LooksRare. - Situs tersebut meminta Anda untuk mengganti rantai segera setelah terhubung. Proses ekstraksi multi-rantai sedang berlangsung.
- Kontrak tujuan tersebut telah diterapkan kurang dari 7 hari yang lalu. Drainer kelas Inferno mengganti kontrak menengah setiap 24 jam.
- Kamu merasa terburu-buru. Penghitung mundur, "penawaran berakhir dalam 4:32", "hanya tersisa 12 tempat" — setiap templat drainer sudah dilengkapi dengan fitur-fitur ini.
- "Layanan pelanggan" yang menghubungi Anda terlebih dahulu. [REDACTED], [REDACTED], [REDACTED], NASDAQ:COIN, LEI:5493004F7TI6QBM4WX72 — tak satu pun dari mereka yang mengirim pesan langsung kepadamu. Sama sekali tidak.
Cara yang sebenarnya untuk membela diri
- Pemisahan dompet. Dompet dingin (perangkat keras, sebagian besar aset) → dompet panas operasional (untuk aktivitas selama 1–2 minggu) → dompet sekali pakai (untuk transaksi baru, saldo mendekati nol). Jangan pernah menghubungkan dompet dingin ke dApp baru.
- Dompet perangkat keras + frasa sandi BIP-39. Kata sandi inilah yang membedakan antara "insiden [REDACTED] senilai $284 juta" dan "penyerang memiliki seed Anda tetapi tidak menemukan apa pun". Hafalkanlah. Jangan menyimpannya dalam bentuk digital.
- Simulator transaksi.Blockaid, Pelindung Dompet, Pocket Universe, Fire — pasang salah satunya. Aplikasi-aplikasi tersebut menampilkan selisih saldo aktual sebelum Anda menandatangani.
- Tandai semua dApps. Jangan pernah mengetik "uniswap" di Google. Jangan pernah mengklik tautan kripto dari media sosial. Hasil iklan tersebut seringkali salah, jauh lebih sering daripada yang kamu kira.
- Periksa persetujuan Anda setiap minggu.Revoke.cash menampilkan semua alokasi yang aktif di seluruh rantai. Cabut alokasi apa pun yang tidak Anda gunakan secara aktif.
- Selalu periksa situs yang tidak dikenal melalui layanan anonim terlebih dahulu. Kosongkan dompetmu, lihat apa yang diminta, lalu putuskan apakah dompet itu memang layak dimiliki.
- Nonaktifkan ekstensi browser pada profil dompet. Profil peramban terpisah (atau jendela Brave Tor) khusus untuk Web3. Ekstensi merupakan sumber pemborosan sumber daya yang telah didokumentasikan — lihat Analisis rantai pasokan npm [REDACTED].
- Periksa reputasi domain tersebut. Salin URL-nya ke Laporan domain THE ENABLERS REGISTRY, urlscan, atau bot [REDACTED] kami. Kalau kita sudah melihatnya, itu sudah ditandai.
Jika Anda sudah menandatangani: lakukan hal ini dalam 60 detik ke depan
- Berhenti. Jangan menandatangani apa pun lagi, termasuk permintaan yang bertuliskan "perbaikan" atau "pemulihan" — itu adalah penipuan tahap kedua yang memanfaatkan rasa panik Anda.
- Pindahkan apa pun yang belum dikeringkan. Buat dompet baru (sebaiknya dompet perangkat keras), lalu pindahkan aset yang masih tersisa ke dompet tersebut. Prioritaskan yang nilainya paling tinggi terlebih dahulu. Lakukan setiap alamat yang diperoleh dari kunci yang diretas dianggap telah terhapus secara permanen.
- Mencabut persetujuan di dompet yang diretas melalui Revoke.cash — untuk setiap blockchain, bukan hanya Ethereum. Ini adalah perlombaan melawan otomatisasi yang dilakukan penyerang.
- Catat semuanya. Hash Tx, alamat penyerang, cap waktu, serta URL lengkap situs possibly phishing. Tangkapan layar sebelum menutup tab.
- Laporan. Simpan di FBI IC3, unit kejahatan siber setempat, protokol yang terkena dampak (Uniswap, [REDACTED], dll. — terkadang mereka membekukan derivatif), dan kirimkan URL possibly phishing tersebut ke @EnablersRegistry Jadi, kami menghancurkan infrastruktur untuk korban berikutnya.
- Jika frasa benih telah diungkapkan: Dompetnya sudah hilang. Berhentilah mencoba "mengamankannya". Lanjutkan hidup, mulailah dari awal, dan ambil hikmahnya.
"Drainers tidak merusak kriptografi. Mereka justru membantah asumsi bahwa manusia mampu membaca data panggilan secepat yang diminta oleh dompet. Cukup perlambat prosesnya satu tanda tangan saja, dan seluruh industri pencurian pun akan runtuh."
Sumber & bacaan lebih lanjut
- Chainalysis — Penipu Kripto: Ancaman di Web3
- Group-IB — Penyelidikan Kasus Inferno Drainer
- Check Point Research — Inferno Drainer Edisi Baru
- ScamSniffer — Insiden Pink Drainer 2024
- Blockaid — Penjelasan langkah demi langkah mengenai perampokan aset kripto
- BleepingComputer — Pembajakan Mandiant X melalui CLINKSINK
- Cyber Daily — Serangan Mandiant = kampanye senilai $900K
- SentinelOne — Munculnya Layanan Drainer
- Gurucul — Penyalahgunaan persetujuan dompet → serangan Web3 yang didukung malware
- [REDACTED] — Serangan rantai pasokan npm terhadap paket Web3
- AInvest — Analisis [REDACTED] Januari 2026 senilai $284 juta
- IMC 2025 bidang akademik — Studi pengukuran ekonomi DaaS
- THE ENABLERS REGISTRY — Penyedia layanan pendaftaran domain yang memfasilitasi penipuan global
- THE ENABLERS REGISTRY — Analisis Penghapusan Serangan Possibly phishing
- THE ENABLERS REGISTRY — Daftar ancaman yang dihapus secara real-time (lebih dari 130 ribu ancaman aktif)
Apa yang dilakukan THE ENABLERS REGISTRY terhadap para penguras
Kami adalah kelompok operator nirlaba. Kami memburu infrastruktur drainer 24 jam sehari, 7 hari seminggu di berbagai platform seperti SEO, iklan berbayar, [REDACTED], X, [REDACTED], dan honeypot pendaftar domain, lalu kami menonaktifkannya.
- 785 ribu+ domain possibly phishing & penipuan yang dilacak sejak 2019.
- 89 ribu+ laporan penyalahgunaan yang diajukan kepada penyedia layanan pendaftaran domain dan penyedia layanan hosting.
- 50+ Vendor AV dan platform intelijen ancaman mengintegrasikan umpan data kami.
- <0,5% tingkat hasil positif palsu berdasarkan lebih dari 100 ribu laporan yang telah diverifikasi.
- Gratis, terbuka untuk umum, tidak dapat diubah arsip bukti mengenai GitHub + HuggingFace.
Melihat situs yang menguras kuota? Kirimkan URL-nya ke @EnablersRegistry. Laporan pelecehan itu akan kami ajukan sebelum kopi Anda sempat dingin.
