Kamus Crypto

Apa Itu Wallet Drainer? Tool Pencurian Crypto Otomatis

Wallet drainer adalah malware atau smart contract yang menguras isi wallet secara otomatis setelah korban menandatangani transaksi berbahaya.

KeamananScamWalletPhishing

Wallet drainer adalah tool otomatis — bisa berupa script JavaScript atau smart contract berbahaya — yang menguras seluruh isi wallet kripto korban dalam satu kali sign transaksi. Pada 2023, lebih dari $295 juta aset kripto dicuri melalui metode ini dari sekitar 324.000 korban di seluruh dunia, berdasarkan data Scam Sniffer.

Wallet drainer bukan sekadar link phishing biasa. Ini adalah infrastruktur pencurian terorganisir — dijual sebagai “drainer-as-a-service” di forum dark web dengan model komisi 20–30% dari hasil curian.

Cara Kerja Wallet Drainer

Wallet drainer bekerja dalam tiga langkah cepat:

1. Menarik korban ke situs phishing

Pelaku membuat situs palsu yang meniru platform DeFi populer — Uniswap, Blur, OpenSea, atau bahkan airdrop token baru. Situs tersebut dipromosikan lewat iklan Google, akun Twitter palsu, atau DM di Discord. URL-nya mirip asli tapi ada perbedaan kecil: uniswap-claim.com bukan app.uniswap.org.

2. Meminta korban sign transaksi berbahaya

Saat korban connect wallet dan mengklik tombol “Claim” atau “Mint”, muncul permintaan tanda tangan. Transaksi ini biasanya berupa:

  • Permit / Permit2 — memberi izin kontrak untuk memindahkan token ERC-20 tanpa perlu approval terpisah per transaksi
  • setApprovalForAll — memberi izin penuh atas semua NFT dalam koleksi tertentu
  • ETH Sign / Personal Sign — tanda tangan off-chain yang bisa dipakai untuk operasi on-chain tertentu

Karena transaksi ini tidak memerlukan gas fee dari sisi korban, banyak orang tidak curiga.

3. Script menguras wallet secara otomatis

Setelah sign, smart contract drainer langsung menjalankan serangkaian transfer — biasanya dalam satu blok transaksi. Semua token ERC-20, NFT, dan kadang ETH langsung berpindah ke wallet pelaku. Proses ini selesai dalam hitungan detik sebelum korban sempat bereaksi.

Jenis-Jenis Wallet Drainer

Angel Drainer & Inferno Drainer

Dua nama yang paling banyak dikaitkan dengan serangan besar di 2023–2024. Keduanya beroperasi sebagai layanan berbayar — hacker menyewa infrastruktur drainer ini, menjalankan kampanye phishing sendiri, dan menyetor 20–30% hasil curian ke operator drainer.

NFT Drainer

Spesifik menyasar koleksi NFT mahal. Menggunakan setApprovalForAll untuk mendapat izin penuh atas semua token dalam kontrak NFT tertentu. Populer saat pasar NFT sedang aktif karena nilai floor price koleksi blue chip bisa sangat tinggi.

Token Drainer via Permit2

Uniswap memperkenalkan Permit2 untuk menyederhanakan approval token. Sayangnya, mekanisme ini juga dieksploitasi drainer — satu tanda tangan Permit2 bisa memberi akses ke semua token ERC-20 sekaligus.

Multi-Chain Drainer

Versi lebih canggih yang beroperasi di beberapa jaringan sekaligus — Ethereum, Solana, Layer-2 seperti Arbitrum dan Optimism — memaksimalkan hasil curian dari satu korban.

Kenapa Korban Bisa Tertipu

Wallet drainer efektif karena beberapa alasan:

  • UI situs palsu sangat meyakinkan — desain pixel-perfect, bahkan kadang pakai domain dengan SSL valid
  • Transaksi sign tidak selalu terlihat mencurigakan — popup MetaMask tidak otomatis menjelaskan efek sebenarnya dari sebuah signature
  • Urgensi buatan — “airdrop berakhir dalam 2 jam” membuat korban tidak sempat berpikir kritis
  • Kurangnya edukasi tentang tipe approval — banyak pengguna baru belum tahu bedanya approve biasa dengan setApprovalForAll

Serangan phishing via wallet drainer pada protokol Ledger Connect Kit (Desember 2023) menguras sekitar $484.000 dalam beberapa jam — bukan dari phishing individual, tapi dari supply chain attack yang menyuntikkan kode drainer ke library yang dipakai ratusan dApp sekaligus.

Cara Melindungi Diri dari Wallet Drainer

Sebelum sign apapun:

  • Gunakan Rabby Wallet atau wallet dengan fitur simulasi transaksi — tampilkan persis aset apa yang akan berpindah sebelum dikonfirmasi
  • Cek URL dengan teliti — bookmark situs DeFi yang sering dipakai
  • Jika ada permintaan setApprovalForAll atau Permit dengan unlimited amount dari situs yang baru pertama dikunjungi, tolak

Manajemen approval:

  • Revoke approval lama secara rutin menggunakan revoke.cash atau tools serupa
  • Jangan beri approval unlimited kecuali benar-benar dipercaya dan dipahami

Isolasi aset:

  • Simpan aset utama di hardware wallet yang tidak terhubung internet
  • Gunakan “burner wallet” — wallet terpisah dengan saldo kecil — untuk berinteraksi dengan protokol baru atau airdrop

Verifikasi sumber:

  • Cek pengumuman resmi dari akun Twitter terverifikasi atau Discord dengan undangan dari anggota lama
  • Jangan klik link dari DM, bahkan dari akun yang terlihat seperti orang dikenal — bisa jadi akun yang sudah dikompromikan

Kesimpulan

Wallet drainer adalah ancaman nyata yang sudah merugikan ratusan ribu pengguna crypto dengan total kerugian ratusan juta dolar. Berbeda dari hack teknis yang menyerang protokol, drainer menyerang pengguna langsung lewat manipulasi psikologis dan ketidaktahuan tentang cara kerja approval. Satu kebiasaan sederhana — membaca dan memahami setiap permintaan sign sebelum konfirmasi, serta menyimpan aset besar di hardware wallet — sudah cukup untuk menghindari sebagian besar serangan ini.

💡 Mau belajar lebih dalam? Kelas WhaleX mengajarkan strategy dan eksekusi nyata, bukan hanya teori. Lihat kelas tersedia →

Belajar DeFi Langsung — Bukan Hanya Teori

WhaleX Masterclass 2 Hari: dari setup wallet sampai LP DeFi aktif menghasilkan. Praktik langsung, dipandu mentor berpengalaman.

Lihat Jadwal Kelas →

Pertanyaan Umum

Apa itu wallet drainer?

Wallet drainer adalah script atau smart contract berbahaya yang secara otomatis menarik semua token dan NFT dari wallet korban setelah korban menandatangani satu transaksi di situs phishing. Proses ini bisa selesai dalam hitungan detik.

Berapa kerugian akibat wallet drainer?

Pada 2023 saja, wallet drainer mencuri lebih dari $295 juta dari sekitar 324.000 korban menurut laporan Scam Sniffer. Serangan tunggal terbesar bisa menguras aset senilai jutaan dolar dalam satu transaksi.

Bagaimana cara agar tidak kena wallet drainer?

Jangan sign transaksi yang meminta izin 'setAll' atau 'Permit' di situs yang tidak kamu kenal. Gunakan dompet seperti Rabby yang menampilkan simulasi efek transaksi sebelum dikonfirmasi, dan revoke approval lama secara rutin di revoke.cash.