Pengguna Kehilangan $440K dalam USDC Setelah Menandatangani Izin Berbahaya dalam Serangan Phishing

• Satu tanda tangan izin berbahaya mengakibatkan kerugian USDC sebesar $440.358 bagi satu pengguna pada 8 Desember 2025.

• Kerugian phishing melonjak 137% pada November 2025, dengan total $7,77 juta dari lebih dari 6.000 korban meskipun insiden lebih sedikit.

• Penipu menargetkan dompet bernilai tinggi, dengan penipuan izin tunggal terbesar mencapai $1,22 juta, menurut laporan Scam Sniffer.

Temukan bagaimana penipuan izin dalam kripto menguras $440K dari satu korban—pelajari risiko, tips pencegahan, dan tren yang meningkat dalam serangan phishing untuk pengelolaan dompet yang lebih aman saat ini.

Apa itu penipuan izin dalam kripto?

Penipuan izin dalam kripto adalah taktik menipu di mana penyerang mengelabui pengguna untuk menyetujui akses tidak sah ke aset digital mereka melalui tanda tangan transaksi yang tampak sah. Penipuan ini memanfaatkan fungsi permit Ethereum, yang dirancang untuk memperlancar persetujuan token, tetapi pelaku jahat mengeksploitasinya untuk menguras dana secara instan. Dalam kasus terbaru yang dilaporkan oleh Scam Sniffer pada 8 Desember 2025, satu pengguna kehilangan $440.358 dalam USDC setelah menandatangani izin palsu, menggarisbawahi ancaman yang berkembang di tengah kenaikan 137% kerugian phishing menjadi $7,77 juta pada November 2025.

Bagaimana cara kerja serangan phishing berbasis izin?

Serangan phishing berbasis izin dimulai dengan penipu membuat aplikasi terdesentralisasi atau situs web palsu yang meniru platform tepercaya. Pengguna diminta untuk menghubungkan dompet mereka dan menandatangani transaksi "permit", yang tampak rutin tetapi sebenarnya mendelegasikan hak pengeluaran tak terbatas kepada penyerang. Ini mengeksploitasi fitur permit standar ERC-20, memungkinkan persetujuan off-chain untuk mengurangi biaya gas dan menyederhanakan interaksi.

Setelah ditandatangani, penyerang dapat melakukan transfer tanpa input pengguna lebih lanjut. Misalnya, analisis Scam Sniffer mengungkapkan bahwa pada November 2025, penipuan semacam itu mempengaruhi lebih dari 6.000 korban, dengan kerugian melonjak 137% dari Oktober meskipun jumlah korban turun 42%. Ini menunjukkan pergeseran ke arah "perburuan paus," menargetkan kepemilikan yang lebih besar untuk pembayaran yang lebih besar—penipuan izin terbesar yang tercatat mencuri $1,22 juta.

Para ahli menyoroti kehalusan serangan ini. Tara Annison, kepala produk di Twinstake, menjelaskan bahwa penipu sering menyamarkan izin sebagai bagian dari airdrop gratis, halaman proyek palsu, atau pemeriksaan keamanan. "Keberhasilan jenis penipuan ini bergantung pada Anda menandatangani sesuatu yang tidak sepenuhnya Anda sadari apa yang akan dilakukannya," katanya. "Ini semua tentang kerentanan manusia dan memanfaatkan keinginan orang."

Annison lebih lanjut merinci bagaimana penyerang dapat menguras dana segera dalam satu transaksi atau mengatur akses jangka panjang, berdiam diri sampai lebih banyak aset ditambahkan. Keadaan dorman ini membuat deteksi lebih sulit, karena batas waktu izin dapat diperpanjang jauh ke masa depan. Menurut laporan bulanan Scam Sniffer, metode ini telah meningkat, dengan kerugian individu tumbuh secara signifikan bahkan ketika volume serangan keseluruhan menurun.

Data pendukung dari analitik blockchain menunjukkan Ethereum tetap menjadi medan pertempuran utama, tetapi kerentanan serupa ada di seluruh rantai yang kompatibel dengan EVM. Penyedia dompet seperti MetaMask telah memperkenalkan perlindungan, seperti simulator transaksi yang mendekode maksud ke dalam bahasa yang jelas, namun penipu beradaptasi dengan memalsukan nama kontrak atau menyembunyikan bidang dalam permintaan tanda tangan.

Pertanyaan yang Sering Diajukan

Apa yang harus Anda lakukan jika Anda mencurigai telah menjadi korban penipuan izin dalam kripto?

Jika Anda mencurigai penipuan izin dalam kripto, segera putuskan koneksi dompet Anda dari situs yang mencurigakan dan cabut semua persetujuan menggunakan alat seperti pemeriksa persetujuan token Etherscan. Hubungi penyedia dompet Anda untuk dukungan, pantau akun Anda dengan cermat, dan laporkan insiden ke platform seperti Scam Sniffer. Pemulihan jarang terjadi, tetapi tindakan cepat dapat mencegah kerugian lebih lanjut—bertindaklah dalam hitungan jam untuk mengurangi kerusakan.

Bagaimana Anda dapat mengenali dan menghindari tanda tangan izin berbahaya dalam transaksi cryptocurrency?

Untuk mengenali tanda tangan izin berbahaya dalam transaksi cryptocurrency, selalu tinjau detail transaksi sebelum menandatangani: periksa alamat kontrak dengan yang sah yang diketahui dan cari jumlah persetujuan tak terbatas. Gunakan dompet dengan peringatan bawaan, seperti peringatan risiko MetaMask, dan hindari menghubungkan ke dApps yang tidak terverifikasi. Harry Donnelly, pendiri dan CEO Circuit, menyarankan untuk memverifikasi alamat pengirim dan memastikan mereka cocok dengan protokol yang Anda inginkan untuk memblokir upaya pencurian secara efektif.

Poin Penting

• Penipuan izin mengeksploitasi kepercayaan: Mereka meniru persetujuan sah untuk memberikan penyerang akses token, seperti terlihat dalam kerugian USDC $440K yang dilaporkan oleh Scam Sniffer.
• Kerugian meningkat: Total phishing November 2025 mencapai $7,77 juta, naik 137% dari Oktober, dengan fokus pada target bernilai tinggi menghasilkan serangan hingga $1,22 juta.
• Kewaspadaan sangat penting: Periksa ulang tanda tangan, gunakan fitur dompet pelindung, dan cabut persetujuan yang tidak perlu secara teratur untuk melindungi aset kripto Anda.

Kesimpulan

Penipuan izin dalam kripto mewakili ancaman yang persisten dan berkembang, seperti yang dibuktikan oleh pencurian USDC senilai $440.000 dan lonjakan yang lebih luas dalam kerugian phishing menjadi $7,77 juta pada November 2025. Dengan memahami bagaimana serangan ini mempersenjatai fungsi permit Ethereum dan memperhatikan saran dari para ahli seperti Tara Annison dari Twinstake dan Harry Donnelly dari Circuit, pengguna dapat memperkuat pertahanan mereka melalui verifikasi yang cermat dan alat dompet canggih. Seiring dengan kematangan ekosistem kripto, tetap terinformasi dan proaktif akan sangat penting—terapkan strategi ini hari ini untuk melindungi investasi Anda dan berkontribusi pada masa depan terdesentralisasi yang lebih aman.

Insiden ini menyoroti kebutuhan akan pendidikan berkelanjutan dalam ruang ini. Martin Derka, co-founder dan technical lead di Zircuit Finance, menekankan bahwa pemulihan dari serangan phishing semacam itu "pada dasarnya nol," karena penipu beroperasi secara anonim dan memprioritaskan pengosongan cepat. Pencegahan tetap menjadi perisai terkuat: selalu teliti apa yang Anda tandatangani, manfaatkan antarmuka dApp yang ditingkatkan untuk transparansi, dan hindari terburu-buru dalam koneksi dompet.

Tren yang lebih luas menunjukkan penipu menyempurnakan taktik mereka, dari transfer smash-and-grab langsung hingga akses jangka panjang yang diam-diam. Laporan Scam Sniffer menggarisbawahi penurunan 42% korban tetapi kerugian besar per insiden, menandakan penargetan yang canggih. Inovasi dompet, seperti terjemahan yang dapat dibaca manusia dari MetaMask dan peringatan risiko tinggi, menawarkan harapan, tetapi kesadaran pengguna tidak tergantikan.

Dalam lanskap ini, sumber otoritatif seperti Scam Sniffer menyediakan pelacakan vital, mengungkapkan pola tanpa spekulasi. Peringatan mereka pada 8 Desember 2025 tentang kerugian USDC sebesar $440.358 berfungsi sebagai pengingat yang jelas. Bagi mereka yang menavigasi kripto, mengintegrasikan wawasan ini ke dalam praktik sehari-hari dapat mencegah bencana dan mendorong partisipasi yang lebih aman.