Perusahaan keamanan siber Malwarebytes Labs mengeluarkan peringatan darurat pada hari Selasa, tentang sebuah situs palsu dengan domain “pudgypengu-gamegifts[.]live” yang sedang menyamar sebagai permainan browser Pudgy World yang baru diluncurkan pada 10 Maret, dan berusaha mencuri kata sandi dompet cryptocurrency.
Metode serangan phishing yang sangat canggih: menyalin 11 antarmuka dompet
Insinyur riset malware senior Malwarebytes, Stefan Dasic, menjelaskan secara rinci logika desain serangan ini dalam laporannya. Beberapa fitur Pudgy World (seperti verifikasi kepemilikan NFT atau membuka kunci konten permainan) memerlukan pemain untuk menghubungkan dompet crypto mereka, dan penyerang memanfaatkan langkah yang masuk akal ini untuk menipu:
“Website phishing ini memanfaatkan proses ini. Ketika pengunjung memilih dompet mereka di situs palsu, halaman akan menampilkan tampilan yang tampak seperti antarmuka pembuka kunci dompet asli. Bagi pengguna, ini tampak sama sekali seperti perangkat lunak dompet crypto yang mereka kenal dan percayai.”
Dasic juga menunjukkan bahwa serangan ini sangat mengesankan dari segi sumber daya teknis—penyerang telah membuat 11 antarmuka pengguna (UI) yang meniru berbagai dompet berbeda, hampir tidak ada dompet yang tidak menjadi sasaran. Baik pengguna yang memiliki Ethereum, Solana, maupun aset multi-chain lainnya, akan menerima antarmuka pembuka kunci dompet palsu yang sangat realistis. Ia berpendapat bahwa pembuatan 11 set UI palsu ini “bukanlah hal yang mudah,” yang menunjukkan kemungkinan adanya “aktor ancaman yang memiliki sumber daya melimpah,” atau penggunaan kembali paket alat phishing komersial yang dirancang khusus untuk serangan semacam ini.
Latar belakang merek Pudgy World dan risiko keamanan yang saling terkait
Pudgy World adalah permainan browser gratis yang didasarkan pada merek NFT Pudgy Penguins, di mana pemain dapat menjelajahi dunia virtual, menyesuaikan avatar penguin, dan menyelesaikan misi. Sejak diakuisisi oleh CEO Luca Netz pada tahun 2022, Pudgy Penguins telah berkembang dari sekadar koleksi NFT menjadi merek konsumen yang mencakup produk ritel, permainan mobile, dan permainan web.
Namun, Pudgy Penguins sebelumnya juga pernah menjadi sasaran serangan serupa. Pada Desember 2024, perusahaan keamanan blockchain Scam Sniffer memperingatkan bahwa penyerang pernah menggunakan iklan Google berbahaya untuk menyamar sebagai platform Pudgy Penguins dan menipu pengguna agar menghubungkan dompet mereka. Para peneliti menunjukkan bahwa serangan semacam ini biasanya muncul bersamaan dengan peristiwa besar dari proyek NFT terkenal, yang menarik banyak pengguna baru dan menciptakan peluang terbaik bagi serangan.
Saran perlindungan: bagaimana menghindari menjadi korban
Malwarebytes memberikan langkah-langkah perlindungan berikut bagi pengguna Pudgy World:
- Hanya akses situs resmi melalui bookmark: hindari masuk ke permainan melalui tautan dari mesin pencari atau media sosial.
- Waspadai munculnya permintaan kata sandi dompet: permintaan kata sandi yang sah tidak akan pernah muncul di konten web; jika halaman meminta memasukkan kata sandi di browser, segera hentikan tindakan.
- Jangan klik tautan di pesan pribadi atau media sosial: tautan resmi dari proyek crypto harus diperoleh langsung dari Twitter/X resmi atau Discord yang dipasang di pin.
- Tindakan darurat jika sudah memasukkan kredensial: jika memasukkan kredensial dompet di situs yang mencurigakan, segera ubah kata sandi dompet; jika curiga dompet telah disusupi, pertimbangkan untuk memindahkan aset ke alamat dompet baru.
Pertanyaan umum
Bagaimana memastikan bahwa saya mengakses Pudgy World yang asli dan bukan situs palsu?
Caranya termasuk membandingkan domain dengan domain resmi Pudgy Penguins (perhatikan karakter tambahan atau tanda hubung), mendapatkan tautan permainan langsung dari Twitter/X resmi atau Discord, dan menyimpan alamat resmi di bookmark daripada mencarinya kembali melalui mesin pencari setiap kali.
Mengapa penyerang langsung bertindak setelah permainan baru diluncurkan?
Stefan Dasic dari Malwarebytes menjelaskan bahwa waktu serangan sengaja dipilih—peluncuran permainan baru menarik banyak pengguna baru yang belum terbiasa dengan proses menghubungkan dompet, sehingga mereka lebih mudah lengah. Selain itu, lonjakan pencarian untuk permainan baru membuat situs palsu lebih mudah muncul di hasil pencarian teratas.
Data FBI menunjukkan bahwa kerugian akibat penipuan phishing pada 2024 melebihi 70 juta dolar. Seberapa besar risiko bagi pengguna crypto?
Biro Investigasi Federal (FBI) melaporkan bahwa pada 2024, ada 193.407 laporan penipuan phishing dan penipuan lainnya, dengan kerugian lebih dari 70 juta dolar, belum termasuk banyak kasus yang tidak dilaporkan. Pengguna crypto berisiko lebih tinggi karena sifat anonimitas dan ketidakmampuan membatalkan transaksi—setelah aset dipindahkan ke alamat penyerang, hampir tidak mungkin untuk mendapatkannya kembali.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Payward Menuduh $25M Kecurangan Penahanan Kripto terhadap Etana
Payward, perusahaan induk bursa kripto Kraken, telah mengajukan gugatan yang menuduh adanya penipuan penitipan kripto senilai 25 juta dolar AS terhadap Etana dan CEO perusahaan tersebut, menurut pengaduan. Tuduhan tersebut berfokus pada klaim bahwa dana klien disalahgunakan, dicampur, dan disembunyikan sebagai bagian dari skema yang “mirip Ponzi”
CryptoFrontier5menit yang lalu
Bisq Protocol Diserang, Sekitar 11 BTC Dicuri Karena Tidak Ada Mekanisme Validasi
Menurut pernyataan resmi yang dilaporkan oleh ChainCatcher, protokol Bisq baru-baru ini diserang, mengakibatkan sekitar 11 BTC dicuri karena tidak adanya mekanisme validasi. Para penyerang memanfaatkan kerentanan miner fee negatif untuk memindahkan dana melalui transaksi multi-tanda tangan.
Bisq adalah
GateNews26menit yang lalu
Aave membantah mosi darurat 73 juta dolar AS ETH yang dibekukan: «Pencuri tidak memiliki apa yang dicurinya»
Aave mengajukan mosi darurat ke Pengadilan Distrik Selatan New York, meminta pencabutan pembekuan terhadap 30.766 ETH senilai sekitar 7,3 juta dolar AS. Inti argumennya: barang hasil kejahatan tetap milik pengguna asli, sehingga pencuri tidak dapat memperoleh kepemilikan; barang hasil kejahatan akan langsung kembali kepada korban ketika pengembalian dilakukan oleh komite keamanan Arbitrum; bukti terkait Grup Lazarus Korea Utara bersifat kabar burung, dan sidang diperkirakan digelar pada akhir Mei. Kasus ini akan memengaruhi tata kelola DeFi dan risiko kepemilikan aset di masa depan.
ChainNewsAbmedia51menit yang lalu
Enam Mantan Pemain Seville FC Didakwa dalam Skema Penipuan Kripto Shirtum, Kerugian Investor Melebihi €24 Juta
Menurut Cryptopolitan, enam mantan pemain Seville FC didakwa atas dugaan terlibat dalam skema penipuan kripto Shirtum, dengan kerugian investor melebihi €24 juta (sekitar $28 juta). Pemain yang disebut dalam pengaduan pidana adalah Papu Gómez, Lucas Ocampos, Ivan Rakitić,
GateNews1jam yang lalu
Keluarga Mencari ETH Arbitrum Beku untuk Korban Korea Utara
Keluarga-keluarga yang menahan putusan lama berusia puluhan tahun terhadap Korea Utara berupaya menyita 30.765 ETH yang dibekukan di Arbitrum setelah eksploitasi rsETH bulan lalu. Keluarga-keluarga tersebut telah mengajukan perintah penahanan dari New York untuk mencegah Arbitrum melepaskan dana, dengan mengutip dugaan keterkaitan antara si pelaku dengan
CryptoFrontier4jam yang lalu
