Keamanan

Peringatan Keamanan Web3 — Persetujuan Berbahaya

Pemula

2025-06-03 | 5m

Apa itu penipuan persetujuan berbahaya?

Persetujuan berbahaya adalah salah satu penipuan yang paling luas, berbahaya, dan merusak di Web3 — yang memengaruhi banyak pengguna.

Di Web3, setiap kali kamu berinteraksi dengan kontrak pintar, kamu seringkali diminta untuk memberikan izin tertentu dengan menandatangani transaksi. Contohnya antara lain:

● Menyetujui DApp untuk mengakses token Anda (mis. menyetujui ERC-20)

● Memberikan izin kontrak untuk mentransfer NFT milikmu (setApprovalForAll)

● Melakukan tindakan on-chain yang tampaknya tidak berbahaya, seperti login atau verifikasi.

Penipuan persetujuan berbahaya mengambil keuntungan dari tindakan-tindakan tersebut dengan menipumu untuk memberikan izin kontrak berbahaya untuk mentransfer aset kamu.

Fitur utama

1. Mengelabui pengguna untuk memberikan izin yang berbahaya

Para penipu menyamar sebagai proyek DApp, airdrop, atau NFT resmi. Mereka membujuk kamu untuk mengeklik tombol "Setujui", tetapi pada kenyataannya, kamu mengesahkan tindakan seperti [approve] (akses token) atau [setApprovalForAll] (akses NFT) untuk kontrak berbahaya.

2. Asetmu terkuras tanpa transfer

Kamu tidak melakukan transfer—hanya mengeklik "Konfirmasi." Namun, begitu penipu mendapatkan persetujuan, mereka dapat memanggil fungsi on-chain untuk menguras dompet kamu kapan saja tanpa memerlukan persetujuan atau tanda tangan lebih lanjut dari kamu.

3. Persetujuan sering kali tidak terbatas

Sebagian besar kontrak penipuan meminta persetujuan untuk nilai maksimum yang memungkinkan (2^256 - 1), memberi mereka akses tak terbatas dan permanen ke aset kamu.

4. Kontrak tidak melakukan hal lain

Kontrak penipuan bersifat pasif, mereka tidak secara aktif mencuri dana dengan sendirinya. Semuanya bergantung pada kesediaan kamu untuk menandatangani persetujuan, yang membantu mereka melewati deteksi dan peringatan penipuan tradisional.

5. Permintaan tanda tangan yang menyesatkan

Permintaan persetujuan dompet sering kali membingungkan—terlalu rumit atau terlalu disederhanakan—sehingga sulit untuk menganalisis apa yang kamu tandatangani. Sebagian besar pengguna menganggap ini "hanya otorisasi" dan mengeklik "Konfirmasi" tanpa menyadari risiko serius yang terdapat di dalamnya.

Skenario umum

1. Airdrop palsu atau halaman minting NFT

Halaman tersebut mungkin mengiklankan promosi "airdrop waktu terbatas" atau "mint gratis". Mengeklik tombol ini akan memicu permintaan persetujuan untuk USDT (Approve) atau NFT (SetApprovalForAll) kamu—setelah disetujui, penipu dapat menguras asetmu kapan saja.

2. Platform DEX atau swap palsu

Kamu menghubungkan Bitget Wallet kamu ke DEX palsu dan mencoba melakukan swap USDC dengan token baru. Situs ini tidak benar-benar memulai swap—situs ini hanya memintamu untuk "Menyetujui USDC." Setelah selesai, danamu dicuri dengan menggunakan kontrak berbahaya.

3. Platform staking/farming atau game palsu

Kamu akan diminta untuk "staking token" atau "mulai bermain" di aplikasi DeFi/GameFi. Situs ini meminta persetujuan token/NFT. Seluruh platform adalah kedok untuk kontrak berbahaya yang menguras asetmu setelah diotorisasi.

4. Frontend yang diretas dari proyek resmi

Peretas membobol situs proyek tepercaya atau membajak catatan DNS, menyuntikkan skrip berbahaya untuk menukar kontrak asli dengan kontrak phishing. Pengguna mengira mereka berinteraksi dengan aplikasi yang benar—tetapi kamu sebenarnya memberikan akses kepada penyerang.

5. Dukungan pelanggan atau dokumen bantuan palsu

Kamu meminta bantuan di sebuah komunitas dan "agen dukungan" atau "layanan pelanggan" palsu mengirimkan tautan. Tautan tersebut mengarah ke halaman dukungan palsu yang memintamu untuk mengesahkan kontrak dengan kedok "menyelesaikan masalah kamu"—tetapi, sebenarnya itu adalah jebakan.

Cara kerja

Prinsip utama dari persetujuan berbahaya dapat diringkas dalam satu kalimat:

Persetujuan ini mengeksploitasi ketidaktahuan pengguna tentang cara kerja perizinan on-chain. Dengan menyesatkan kamu untuk memberikan persetujuan, penipu mendapatkan kendali atas asetmu dan mencurinya tanpa sepengetahuan kamu.

Prinsip-prinsip teknis

Berikut adalah alur kerja umum dari penipuan persetujuan berbahaya:

1. Penipu menggunakan kontrak berbahaya (tetapi tidak melakukan transfer secara langsung).

2. Pengguna ditipu untuk memanggil [approve] (untuk token) atau [setApprovalForAll] (untuk NFT).

3. Persetujuan diberikan, tetapi aset tetap berada di dalam dompet—untuk saat ini.

4. Para penipu kemudian menggunakan [transferFrom()] atau fungsi yang serupa untuk memindahkan dana ke dompet mereka sendiri.

5. Karena transaksi ini valid secara teknis (disetujui oleh pengguna), dompet dan blockchain tidak memblokirnya.

Langkah keamanan Bitget Wallet

● Peringatan situs web phishing: Jika kamu mengunjungi situs yang mencurigakan, Bitget Wallet akan menampilkan peringatan untuk mencegahmu dari tanpa sadar menyetujui kontrak berbahaya.

● Deteksi risiko kontrak bawaan: Bitget Wallet menyertakan alat yang memindai persetujuanmu yang ada. Kamu bisa secara proaktif meninjau dan mencabut izin yang berisiko tinggi atau yang sudah kedaluwarsa untuk menjaga keamanan aset kamu.

Praktik terbaik untuk melindungi diri kamu

Waspadai tanda-tanda bahaya ini untuk mengidentifikasi potensi upaya persetujuan yang berbahaya:

● DApp tidak memiliki fungsi yang nyata — hanya sebuah perintah yang memintamu untuk menyetujui sesuatu

● Meminta akses ke aset-aset penting (USDT, ETH, NFT)

● Persetujuan tidak memiliki batas (menyetujui (uint256 max))

● Popup tanda tangan dompet kamu menunjukkan SetApprovalForAll: true.

● Situs web terlihat tidak profesional atau meniru proyek terkenal

● Jangan pernah mengeklik tautan acak atau menyetujui apa pun dari DM Telegram, balasan Twitter, atau sumber lain yang tidak terverifikasi

Kesimpulan

Jika kamu tidak memahaminya, jangan menandatanganinya. Jika ini bukan perdagangan, pikirkan dua kali sebelum mengeklik.

Untuk pengguna sehari-hari, menyetujui izin kontrak pintar harus dilakukan dengan sangat hati-hati. Selalu terapkan pola pikir yang mengutamakan keamanan: "persetujuan = mentransfer dana." Teliti dan periksa kembali setiap otorisasi kontrak sebelum menandatangani.