Cara Lindungi Diri dari Phishing Crypto: Panduan Praktis Anti-Kena-Tipu
Phishing crypto makin canggih. Ini cara konkret mengenali dan menghindari scam sebelum wallet kamu dikuras habis.
Tahun 2024, lebih dari $1 miliar aset crypto raib karena phishing — bukan karena blockchain-nya jebol, tapi karena penggunanya tertipu. Metodenya makin halus: ada yang buat website klonan yang tampilannya identik 1:1 dengan DEX terkenal, ada yang kirim DM di Discord pura-pura jadi support tim, ada yang pasang iklan Google dengan URL palsu di posisi teratas.
Kabar buruknya, tidak ada wallet atau exchange yang bisa melindungi kamu 100% dari diri kamu sendiri. Kabar baiknya, pola serangan phishing crypto itu repetitif dan bisa dipelajari. Sekali kamu tahu caranya, sebagian besar serangan jadi mudah dikenali.
Kenali 4 Pola Phishing yang Paling Sering Menyerang
1. Website Klonan (Clone Sites)
Penyerang menduplikasi tampilan Uniswap, Aave, atau Opensea sampai pixel-perfect, lalu ganti domain dengan variasi yang mirip:
uniswаp.org(huruf “а” adalah Cyrillic, bukan Latin)uniswap-app.ioatauuniswapv3.netaave-finance.com
Cara cek: Klik ikon gembok di browser → lihat sertifikat SSL → domain harus persis sama dengan yang resmi. Atau pakai ekstensi browser seperti Wallet Guard yang otomatis flag domain mencurigakan.
2. Approval Scam (Drainer Contract)
Kamu diminta approve transaksi di MetaMask yang terlihat normal, tapi sebenarnya memberi izin unlimited spend ke contract penyerang. Setelah approve, mereka bisa tarik semua token ERC-20 kamu kapan saja.
Cara cek sebelum sign:
- Buka Revoke.cash → connect wallet → lihat daftar approval aktif
- Di MetaMask, sebelum approve, scroll ke detail transaksi → cek “Spending Cap” — kalau unlimited, TOLAK
- Cabut approval lama yang tidak dipakai setiap 30 hari
3. Fake Airdrop & “You’ve Won” DM
Pesan di Twitter/X, Discord, atau Telegram: “Kamu dapat airdrop 500 ARB, klaim sekarang di [link].” Link-nya minta kamu connect wallet dan sign transaksi.
Aturan besi: Tidak ada airdrop legit yang minta kamu sign transaksi untuk klaim. Cek pengumuman resmi HANYA dari akun Twitter terverifikasi atau website resmi yang sudah kamu bookmark sebelumnya.
4. Fake Customer Support
Ada yang DM kamu duluan di Telegram/Discord bilang “Hai, saya dari tim support MetaMask, ada masalah di wallet kamu.” Ini 100% scam — tidak ada tim support crypto yang DM duluan.
Setup Pertahanan Berlapis
Langkah 1: Bookmark semua DeFi protocol yang kamu pakai Buka Uniswap, Aave, GMX, Lido — cek URL-nya di Twitter resmi atau CoinGecko, lalu langsung bookmark. Mulai sekarang, akses lewat bookmark, bukan ketik ulang atau klik link di chat.
Langkah 2: Pasang ekstensi keamanan
- Wallet Guard (Chrome/Firefox) — deteksi phishing real-time
- Fire — simulate transaksi sebelum sign, tunjukkan apa yang akan berubah di wallet kamu
- Revoke.cash — pantau dan cabut token approval
Langkah 3: Pisahkan wallet
- Wallet “hot” untuk interaksi DeFi sehari-hari — isi maksimal yang siap kamu kehilangan (misalnya $200–$500 equivalent)
- Wallet “cold” (hardware wallet atau wallet terpisah) untuk simpan aset utama — jangan pernah connect ke dApp sembarangan
Langkah 4: Verifikasi sebelum sign Setiap kali MetaMask atau wallet lain minta tanda tangan, tanyakan ke diri sendiri:
- Saya mengakses ini dari link mana?
- Contract address-nya sama dengan yang ada di dokumentasi resmi?
- Kenapa butuh “unlimited” spending approval?
Kalau salah satu jawabannya tidak jelas, batalkan.
⚠️ Disclaimer
Artikel ini bersifat edukatif dan bukan saran investasi atau keamanan profesional. Metode phishing terus berkembang — selalu cek sumber terbaru dari protokol yang kamu gunakan. WhaleX tidak bertanggung jawab atas kehilangan aset akibat serangan phishing.
💡 Mau praktik langsung, bukan hanya teori? Di kelas WhaleX, Anda belajar hands-on — setup wallet, yield strategy, dan navigasi protokol DeFi nyata. Coba kelas Web3 gratis →
Elite Vault WhaleX: join membership via USDC di Base Network — akses penuh tanpa proses bank tradisional.
Lihat Elite Vault →Pertanyaan Umum
Apa tanda-tanda website phishing crypto?
URL-nya beda tipis dari asli — misalnya 'uniswаp.org' (pakai huruf Cyrillic) vs 'uniswap.org'. Selalu ketik alamat manual atau pakai bookmark yang sudah kamu verifikasi sendiri.
Apakah MetaMask bisa mendeteksi phishing otomatis?
MetaMask punya blacklist phishing bawaan, tapi tidak 100% update. Tetap cek URL manual dan aktifkan fitur 'Phishing Detection' di Settings > Security & Privacy.
Kalau sudah kena phishing, apa yang harus dilakukan pertama?
Pindahkan sisa aset dari wallet yang terkompromi ke wallet baru SEGERA — sebelum buat laporan atau panik. Seed phrase lama anggap sudah hangus, jangan dipakai lagi.