Perusahaan keamanan siber Malwarebytes Labs mengeluarkan peringatan darurat pada hari Selasa, tentang sebuah situs palsu dengan domain “pudgypengu-gamegifts[.]live” yang sedang menyamar sebagai permainan browser Pudgy World yang baru diluncurkan pada 10 Maret, dan berusaha mencuri kata sandi dompet cryptocurrency.
Metode serangan phishing yang sangat canggih: menyalin 11 antarmuka dompet
Insinyur riset malware senior Malwarebytes, Stefan Dasic, menjelaskan secara rinci logika desain serangan ini dalam laporannya. Beberapa fitur Pudgy World (seperti verifikasi kepemilikan NFT atau membuka kunci konten permainan) memerlukan pemain untuk menghubungkan dompet crypto mereka, dan penyerang memanfaatkan langkah yang masuk akal ini untuk menipu:
“Website phishing ini memanfaatkan proses ini. Ketika pengunjung memilih dompet mereka di situs palsu, halaman akan menampilkan tampilan yang tampak seperti antarmuka pembuka kunci dompet asli. Bagi pengguna, ini tampak sama sekali seperti perangkat lunak dompet crypto yang mereka kenal dan percayai.”
Dasic juga menunjukkan bahwa serangan ini sangat mengesankan dari segi sumber daya teknis—penyerang telah membuat 11 antarmuka pengguna (UI) yang meniru berbagai dompet berbeda, hampir tidak ada dompet yang tidak menjadi sasaran. Baik pengguna yang memiliki Ethereum, Solana, maupun aset multi-chain lainnya, akan menerima antarmuka pembuka kunci dompet palsu yang sangat realistis. Ia berpendapat bahwa pembuatan 11 set UI palsu ini “bukanlah hal yang mudah,” yang menunjukkan kemungkinan adanya “aktor ancaman yang memiliki sumber daya melimpah,” atau penggunaan kembali paket alat phishing komersial yang dirancang khusus untuk serangan semacam ini.
Latar belakang merek Pudgy World dan risiko keamanan yang saling terkait
Pudgy World adalah permainan browser gratis yang didasarkan pada merek NFT Pudgy Penguins, di mana pemain dapat menjelajahi dunia virtual, menyesuaikan avatar penguin, dan menyelesaikan misi. Sejak diakuisisi oleh CEO Luca Netz pada tahun 2022, Pudgy Penguins telah berkembang dari sekadar koleksi NFT menjadi merek konsumen yang mencakup produk ritel, permainan mobile, dan permainan web.
Namun, Pudgy Penguins sebelumnya juga pernah menjadi sasaran serangan serupa. Pada Desember 2024, perusahaan keamanan blockchain Scam Sniffer memperingatkan bahwa penyerang pernah menggunakan iklan Google berbahaya untuk menyamar sebagai platform Pudgy Penguins dan menipu pengguna agar menghubungkan dompet mereka. Para peneliti menunjukkan bahwa serangan semacam ini biasanya muncul bersamaan dengan peristiwa besar dari proyek NFT terkenal, yang menarik banyak pengguna baru dan menciptakan peluang terbaik bagi serangan.
Saran perlindungan: bagaimana menghindari menjadi korban
Malwarebytes memberikan langkah-langkah perlindungan berikut bagi pengguna Pudgy World:
- Hanya akses situs resmi melalui bookmark: hindari masuk ke permainan melalui tautan dari mesin pencari atau media sosial.
- Waspadai munculnya permintaan kata sandi dompet: permintaan kata sandi yang sah tidak akan pernah muncul di konten web; jika halaman meminta memasukkan kata sandi di browser, segera hentikan tindakan.
- Jangan klik tautan di pesan pribadi atau media sosial: tautan resmi dari proyek crypto harus diperoleh langsung dari Twitter/X resmi atau Discord yang dipasang di pin.
- Tindakan darurat jika sudah memasukkan kredensial: jika memasukkan kredensial dompet di situs yang mencurigakan, segera ubah kata sandi dompet; jika curiga dompet telah disusupi, pertimbangkan untuk memindahkan aset ke alamat dompet baru.
Pertanyaan umum
Bagaimana memastikan bahwa saya mengakses Pudgy World yang asli dan bukan situs palsu?
Caranya termasuk membandingkan domain dengan domain resmi Pudgy Penguins (perhatikan karakter tambahan atau tanda hubung), mendapatkan tautan permainan langsung dari Twitter/X resmi atau Discord, dan menyimpan alamat resmi di bookmark daripada mencarinya kembali melalui mesin pencari setiap kali.
Mengapa penyerang langsung bertindak setelah permainan baru diluncurkan?
Stefan Dasic dari Malwarebytes menjelaskan bahwa waktu serangan sengaja dipilih—peluncuran permainan baru menarik banyak pengguna baru yang belum terbiasa dengan proses menghubungkan dompet, sehingga mereka lebih mudah lengah. Selain itu, lonjakan pencarian untuk permainan baru membuat situs palsu lebih mudah muncul di hasil pencarian teratas.
Data FBI menunjukkan bahwa kerugian akibat penipuan phishing pada 2024 melebihi 70 juta dolar. Seberapa besar risiko bagi pengguna crypto?
Biro Investigasi Federal (FBI) melaporkan bahwa pada 2024, ada 193.407 laporan penipuan phishing dan penipuan lainnya, dengan kerugian lebih dari 70 juta dolar, belum termasuk banyak kasus yang tidak dilaporkan. Pengguna crypto berisiko lebih tinggi karena sifat anonimitas dan ketidakmampuan membatalkan transaksi—setelah aset dipindahkan ke alamat penyerang, hampir tidak mungkin untuk mendapatkannya kembali.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Frontend Cowswap Diserang, Pengguna Diminta Mencabut Izin
Sistem keamanan Blockaid mendeteksi serangan pada frontend di Cowswap, menandai situs web COW.FI sebagai berbahaya. Pengguna diminta untuk mencabut izin dompet dan tidak berinteraksi dengan DApp tersebut.
GateNews1jam yang lalu
Polymarket meninjau proyek rintisan dalam ekosistemnya, memberantas perdagangan orang dalam dan tindakan manipulasi pasar
Polymarket mengumumkan audit terhadap sebagian proyek rintisan yang terhubung, yang dituduh memanfaatkan informasi dari akun perdagangan orang dalam yang diduga untuk mengarahkan pengguna agar melakukan transaksi. Langkah ini bertujuan untuk memperkuat manajemen kepatuhan, sebagai respons terhadap perhatian publik terhadap risiko perdagangan orang dalam.
GateNews3jam yang lalu
Pada kuartal 1 tahun 2026, proyek Web3 mengalami kerugian lebih dari 460 juta dolar AS akibat peretasan dan penipuan, dengan serangan phishing mendominasi
Laporan yang dirilis oleh Hacken menunjukkan bahwa pada kuartal pertama 2026, proyek Web3 mengalami kerugian sebesar 465,5 juta dolar AS akibat serangan peretasan dan penipuan, dengan kerugian dari serangan phishing dan rekayasa sosial mencapai 306 juta dolar AS. Selain itu, penipuan terkait dompet perangkat keras menempati sebagian besar kerugian. Selain itu, kerentanan kontrak pintar dan kegagalan kontrol akses juga menyebabkan kerugian yang signifikan. Dari sisi regulasi, kerangka hukum Eropa meningkatkan persyaratan pemantauan keamanan.
GateNews7jam yang lalu
RAVE 狂飆 memicu gelombang panas altcoin bajakan, FF dan INX mengungkap pola “pompa lalu jual”.
Baru-baru ini, altcoin yang diwakili oleh RAVE telah memicu gelombang heboh investasi, tetapi beberapa proyek bintang lama seperti FF dan INX justru memanfaatkan gelombang panas ini untuk melakukan operasi “pompa dan buang” (pump and dump), dengan cara menaikkan harga koin secara cepat untuk menarik para investor ritel membeli, lalu kemudian menjual dalam jumlah besar, sehingga menyebabkan penurunan harga yang sangat cepat. Perilaku seperti ini tidak hanya mengungkap kesulitan keuangan pihak proyek, tetapi juga merusak kepercayaan investor. Investor perlu mewaspadai sinyal seperti lonjakan yang tidak wajar dalam waktu singkat, agar terhindar dari risiko pasar yang dimanipulasi.
MarketWhisper11jam yang lalu
FBI bekerja sama dengan Indonesia untuk membongkar jaringan phishing W3LL, nilai yang terlibat lebih dari 20 juta dolar AS
FBI AS dan kepolisian Indonesia bekerja sama dan berhasil menggagalkan jaringan phishing W3LL, menyita peralatan terkait, serta menangkap tersangka. Paket alat phishing W3LL ditawarkan dengan harga rendah untuk halaman login palsu, menggunakan serangan man-in-the-middle untuk dengan mudah melewati verifikasi multi-faktor, sehingga membentuk ekosistem kejahatan siber yang terorganisasi. Aksi ini menandai kerja sama AS dan Indonesia dalam penegakan hukum terhadap kejahatan siber, namun ancaman keamanan bagi pengguna mata uang kripto tetap sangat serius.
MarketWhisper14jam yang lalu
Peringatan Darurat Squads: Pemalsuan akun multisig yang menyuntikkan alamat, mekanisme daftar putih akan segera diluncurkan
Peringatan dari protokol multi-tanda tangan (multisig) di ekosistem Solana, Squads, menyebutkan bahwa penyerang melakukan serangan address poisoning terhadap pengguna dengan memancing pengguna agar melakukan transfer yang tidak semestinya melalui pemalsuan akun. Squads mengonfirmasi bahwa tidak ada kerugian dana, dan menegaskan bahwa ini merupakan serangan social engineering, bukan celah pada protokol. Untuk mengatasinya, Squads telah menerapkan langkah perlindungan seperti sistem peringatan, prompt untuk akun yang tidak berinteraksi, dan mekanisme daftar putih. Kejadian ini mencerminkan meningkatnya ancaman social engineering di ekosistem Solana, serta memicu tinjauan keamanan yang berkelanjutan.
MarketWhisper15jam yang lalu
