Perusahaan keamanan siber Malwarebytes Labs mengeluarkan peringatan darurat pada hari Selasa, tentang sebuah situs palsu dengan domain “pudgypengu-gamegifts[.]live” yang sedang menyamar sebagai permainan browser Pudgy World yang baru diluncurkan pada 10 Maret, dan berusaha mencuri kata sandi dompet cryptocurrency.
Metode serangan phishing yang sangat canggih: menyalin 11 antarmuka dompet
Insinyur riset malware senior Malwarebytes, Stefan Dasic, menjelaskan secara rinci logika desain serangan ini dalam laporannya. Beberapa fitur Pudgy World (seperti verifikasi kepemilikan NFT atau membuka kunci konten permainan) memerlukan pemain untuk menghubungkan dompet crypto mereka, dan penyerang memanfaatkan langkah yang masuk akal ini untuk menipu:
“Website phishing ini memanfaatkan proses ini. Ketika pengunjung memilih dompet mereka di situs palsu, halaman akan menampilkan tampilan yang tampak seperti antarmuka pembuka kunci dompet asli. Bagi pengguna, ini tampak sama sekali seperti perangkat lunak dompet crypto yang mereka kenal dan percayai.”
Dasic juga menunjukkan bahwa serangan ini sangat mengesankan dari segi sumber daya teknis—penyerang telah membuat 11 antarmuka pengguna (UI) yang meniru berbagai dompet berbeda, hampir tidak ada dompet yang tidak menjadi sasaran. Baik pengguna yang memiliki Ethereum, Solana, maupun aset multi-chain lainnya, akan menerima antarmuka pembuka kunci dompet palsu yang sangat realistis. Ia berpendapat bahwa pembuatan 11 set UI palsu ini “bukanlah hal yang mudah,” yang menunjukkan kemungkinan adanya “aktor ancaman yang memiliki sumber daya melimpah,” atau penggunaan kembali paket alat phishing komersial yang dirancang khusus untuk serangan semacam ini.
Latar belakang merek Pudgy World dan risiko keamanan yang saling terkait
Pudgy World adalah permainan browser gratis yang didasarkan pada merek NFT Pudgy Penguins, di mana pemain dapat menjelajahi dunia virtual, menyesuaikan avatar penguin, dan menyelesaikan misi. Sejak diakuisisi oleh CEO Luca Netz pada tahun 2022, Pudgy Penguins telah berkembang dari sekadar koleksi NFT menjadi merek konsumen yang mencakup produk ritel, permainan mobile, dan permainan web.
Namun, Pudgy Penguins sebelumnya juga pernah menjadi sasaran serangan serupa. Pada Desember 2024, perusahaan keamanan blockchain Scam Sniffer memperingatkan bahwa penyerang pernah menggunakan iklan Google berbahaya untuk menyamar sebagai platform Pudgy Penguins dan menipu pengguna agar menghubungkan dompet mereka. Para peneliti menunjukkan bahwa serangan semacam ini biasanya muncul bersamaan dengan peristiwa besar dari proyek NFT terkenal, yang menarik banyak pengguna baru dan menciptakan peluang terbaik bagi serangan.
Saran perlindungan: bagaimana menghindari menjadi korban
Malwarebytes memberikan langkah-langkah perlindungan berikut bagi pengguna Pudgy World:
- Hanya akses situs resmi melalui bookmark: hindari masuk ke permainan melalui tautan dari mesin pencari atau media sosial.
- Waspadai munculnya permintaan kata sandi dompet: permintaan kata sandi yang sah tidak akan pernah muncul di konten web; jika halaman meminta memasukkan kata sandi di browser, segera hentikan tindakan.
- Jangan klik tautan di pesan pribadi atau media sosial: tautan resmi dari proyek crypto harus diperoleh langsung dari Twitter/X resmi atau Discord yang dipasang di pin.
- Tindakan darurat jika sudah memasukkan kredensial: jika memasukkan kredensial dompet di situs yang mencurigakan, segera ubah kata sandi dompet; jika curiga dompet telah disusupi, pertimbangkan untuk memindahkan aset ke alamat dompet baru.
Pertanyaan umum
Bagaimana memastikan bahwa saya mengakses Pudgy World yang asli dan bukan situs palsu?
Caranya termasuk membandingkan domain dengan domain resmi Pudgy Penguins (perhatikan karakter tambahan atau tanda hubung), mendapatkan tautan permainan langsung dari Twitter/X resmi atau Discord, dan menyimpan alamat resmi di bookmark daripada mencarinya kembali melalui mesin pencari setiap kali.
Mengapa penyerang langsung bertindak setelah permainan baru diluncurkan?
Stefan Dasic dari Malwarebytes menjelaskan bahwa waktu serangan sengaja dipilih—peluncuran permainan baru menarik banyak pengguna baru yang belum terbiasa dengan proses menghubungkan dompet, sehingga mereka lebih mudah lengah. Selain itu, lonjakan pencarian untuk permainan baru membuat situs palsu lebih mudah muncul di hasil pencarian teratas.
Data FBI menunjukkan bahwa kerugian akibat penipuan phishing pada 2024 melebihi 70 juta dolar. Seberapa besar risiko bagi pengguna crypto?
Biro Investigasi Federal (FBI) melaporkan bahwa pada 2024, ada 193.407 laporan penipuan phishing dan penipuan lainnya, dengan kerugian lebih dari 70 juta dolar, belum termasuk banyak kasus yang tidak dilaporkan. Pengguna crypto berisiko lebih tinggi karena sifat anonimitas dan ketidakmampuan membatalkan transaksi—setelah aset dipindahkan ke alamat penyerang, hampir tidak mungkin untuk mendapatkannya kembali.
Penafian: Informasi di halaman ini dapat berasal dari pihak ketiga dan tidak mewakili pandangan atau opini Gate. Konten yang ditampilkan hanya untuk tujuan referensi dan bukan merupakan nasihat keuangan, investasi, atau hukum. Gate tidak menjamin keakuratan maupun kelengkapan informasi dan tidak bertanggung jawab atas kerugian apa pun yang timbul akibat penggunaan informasi ini. Investasi aset virtual memiliki risiko tinggi dan rentan terhadap volatilitas harga yang signifikan. Anda dapat kehilangan seluruh modal yang diinvestasikan. Harap pahami sepenuhnya risiko yang terkait dan buat keputusan secara bijak berdasarkan kondisi keuangan serta toleransi risiko Anda sendiri. Untuk detail lebih lanjut, silakan merujuk ke
Penafian.
Artikel Terkait
Perhatikan konten penandatanganan! Vercel terkena peretasan tebusan sebesar 2 juta dolar AS, keamanan frontend protokol kripto mendapat peringatan keras
Platform pengembangan cloud Vercel mengalami peretasan pada 19 April; pelaku memperoleh hak akses melalui alat AI pihak ketiga yang digunakan oleh karyawan, dan mengancam melakukan pemerasan sebesar 2 juta dolar AS. Meskipun data sensitif tidak diakses, data lain mungkin telah dimanfaatkan. Kejadian ini memicu kekhawatiran keamanan di komunitas kripto; Vercel saat ini sedang melakukan penyelidikan dan menyarankan pengguna untuk mengganti kunci.
ChainNewsAbmedia46menit yang lalu
KelpDAO Kehilangan $290M dalam Serangan LayerZero di Lapisan Lazarus Group
KelpDAO mengalami kerugian sebesar $290 juta akibat pelanggaran keamanan yang canggih terkait dengan Grup Lazarus. Serangan tersebut mengeksploitasi kelemahan konfigurasi pada sistem verifikasi mereka dan menyoroti risiko bergantung pada satu pengaturan verifikasi titik tunggal. Para ahli industri menekankan perlunya konfigurasi keamanan yang lebih baik dan verifikasi berlapis untuk mencegah insiden di masa mendatang.
CryptoFrontier1jam yang lalu
LayerZero menanggapi kejadian 2,92 miliar Kelp DAO: Kelp menetapkan konfigurasi DVN 1-of-1 pilihannya sendiri, peretasnya adalah Lazarus Korea Utara
LayerZero mengeluarkan pernyataan terkait insiden peretasan senilai 292 juta dolar AS yang menimpa Kelp DAO, menuduh bahwa konfigurasi Kelp yang memilih 1-of-1 DVN membuat insiden tersebut menjadi mungkin, dan pelakunya adalah grup Lazarus Korea Utara. LayerZero menegaskan bahwa insiden ini berasal dari pilihan konfigurasi, dan bahwa pihaknya tidak akan lagi mendukung pengaturan rentan seperti itu. Selain itu, tanggung jawab masih menjadi perdebatan, dan pihaknya tidak memberikan rencana kompensasi.
ChainNewsAbmedia1jam yang lalu
Peretas DeFi mencuri $600 juta pada bulan April; Kelp DAO dan Drift menyumbang 95% kerugian bulanan
Pada April 2026, hanya dalam 20 hari, protokol kripto mengalami kerugian lebih dari 606 juta USD akibat serangan peretas, menjadi rekor kerugian bulanan tunggal terberat sejak insiden kebocoran data senilai 1,4 miliar USD milik bursa pada Februari 2025. Dua serangan, KelpDAO dan Drift Protocol, secara gabungan menyumbang 95% dari kerugian April, serta 75% dari total kerugian hingga saat ini pada 2026 sebesar 771,8 juta USD.
MarketWhisper1jam yang lalu
Pelanggaran Vercel Terkait Alat AI Konteks.ai yang Dibobol Meningkatkan Risiko bagi Frontend Kripto
Vercel mengonfirmasi adanya pelanggaran keamanan yang disebabkan oleh alat AI yang telah dibobol, yang mengakibatkan pencurian data karyawan dan pelanggan. Insiden ini menimbulkan risiko bagi ekosistem Web3, dan pelaku berusaha menjual data curian tersebut seharga $2 juta. Vercel sedang menangani situasi ini bersama aparat penegak hukum dan pakar penanganan insiden.
GateNews2jam yang lalu
Ripple CTO: Eksploit Kelp DAO Mencerminkan Pertukaran Keamanan Jembatan
David Schwartz, CTO Emeritus di Ripple, menganalisis kerentanan keamanan jembatan setelah eksploit $292 juta Kelp DAO. Ia mencatat bahwa para penyedia memprioritaskan kenyamanan daripada keamanan yang kuat, sehingga melemahkan fitur perlindungan penting. Kebocoran Kelp DAO berawal dari kebocoran kunci privat, yang diperparah oleh konfigurasi keamanan yang disederhanakan dalam implementasi LayerZero mereka.
CryptoFrontier4jam yang lalu
