Kerugian Phishing Kripto Melonjak 200% Saat Penyerang Memburu “Pa**ng”

Januari 2026 menyaksikan lonjakan mengejutkan sebesar 207% dalam kerugian phishing kripto menjadi $6,3 juta, karena para penyerang beralih menargetkan dompet bernilai tinggi. Pelajari tentang strategi “whale hunting”, penipuan “address poisoning” yang menghancurkan, dan langkah-langkah penting untuk melindungi aset Anda dalam lanskap ancaman baru ini.

Awal yang Mengkhawatirkan di 2026: Serangan Phishing Berkembang dan Meningkat

Tahun baru ini menandai evolusi berbahaya dalam dunia kejahatan cryptocurrency. Menurut laporan dari perusahaan keamanan blockchain Scam Sniffer, Januari 2026 menyaksikan lonjakan luar biasa sebesar 207% bulan-ke-bulan dalam kerugian dari serangan phishing signature, mencapai sekitar $6,3 juta. Peningkatan dramatis ini terjadi meskipun jumlah korban secara keseluruhan menurun 11%, mengungkap pergeseran strategis yang jahat.

Cybercriminal tidak lagi menebar jaring lebar untuk keuntungan kecil; mereka kini menargetkan secara presisi individu dengan kekayaan tinggi dalam taktik yang dikenal sebagai “whale hunting.” Pergeseran ini menuju kualitas daripada kuantitas berarti bahwa meskipun jumlah orang yang terkena lebih sedikit, dampak finansial per insiden jauh lebih besar dan menghancurkan. Menambah tren ini, industri diguncang oleh satu serangan “address poisoning” yang menyebabkan kerugian monumental sebesar $12,25 juta. Data yang mengkhawatirkan ini menunjukkan bahwa keamanan dompet harus menjadi prioritas utama bagi semua investor, terutama mereka yang memiliki kepemilikan besar.

Data Mengkhawatirkan Januari: Lonjakan 207% dalam Nilai yang Dicuri

Angka dari Scam Sniffer menggambarkan gambaran yang jelas dan mengkhawatirkan tentang lanskap ancaman baru ini. Pada Desember 2025, kerugian dari phishing signature berada pada baseline yang lebih rendah. Pada Januari, angka tersebut melonjak menjadi $6,3 juta. Statistik yang paling mencolok, bagaimanapun, adalah konsentrasi kerugian: hanya dua korban yang menyumbang hampir 65% dari total jumlah yang dicuri di Januari.

Konsentrasi ekstrem ini adalah ciri khas dari strategi “whale hunting”. Penyerang menggunakan intelijen canggih, kemungkinan dari analisis on-chain dan rekayasa sosial, untuk mengidentifikasi dan menargetkan dompet dengan saldo tinggi. Insiden phishing signature terbesar di Januari melihat seorang pengguna kehilangan $3,02 juta setelah tertipu menandatangani transaksi berbahaya. Pergeseran ini menandakan bahwa penyerang menginvestasikan lebih banyak sumber daya dalam merencanakan lebih sedikit perampokan, tetapi yang jauh lebih menguntungkan. Bagi ekosistem kripto, ini berarti profil risiko keseluruhan telah berubah; bahaya tidak lagi sebatas gangguan massal, melainkan pelanggaran yang ditargetkan dan menghancurkan.

Respon dari industri pun cepat. Safe Labs, pengembang dompet multisig terkenal Safe (dulu Gnosis Safe), mengidentifikasi dan memperingatkan pengguna tentang kampanye rekayasa sosial terkoordinasi yang memanfaatkan sekitar 5.000 alamat berbahaya yang dirancang meniru yang sah. Upaya besar dan terorganisir ini semakin menegaskan profesionalisasi operasi phishing tersebut.

Signature Phishing dan Address Poisoning: Memahami Dual Ancaman

Untuk melindungi diri dari serangan ini, pengguna harus terlebih dahulu memahami dua metode utama yang menghancurkan ruang ini: signature phishing dan address poisoning.

Signature Phishing memanfaatkan mekanisme persetujuan transaksi dari dompet Web3. Penyerang membuat situs web palsu atau pop-up yang menipu pengguna agar menandatangani “permit”, “increaseAllowance”, atau fungsi “setApprovalForAll” yang berbahaya. Berbeda dengan transaksi yang mentransfer jumlah tertentu, tanda tangan ini memberi penyerang izin tanpa batas, yang terus-menerus memungkinkan mereka menguras token tertentu dari dompet korban kapan saja di masa depan. Pengguna mungkin berpikir mereka menyetujui swap sederhana atau login, tetapi sebenarnya mereka menyerahkan kunci ke gudang kekayaan mereka.

Address Poisoning, juga dikenal sebagai “lookalike attack”, adalah scam yang lebih pasif tetapi sama-sama kejam. Di sini, penyerang mengirim transaksi kecil dan tidak berharga dari alamat palsu ke dompet korban target. Alamat palsu ini dibuat dengan hati-hati agar cocok dengan beberapa karakter pertama dan terakhir dari alamat asli yang sudah ada dalam riwayat transaksi korban (misalnya, alamat deposit di exchange). Harapan penyerang adalah bahwa korban nanti akan mengirim dana, melihat riwayat mereka, dan menyalin alamat beracun tersebut tanpa memverifikasi string lengkap dan kompleks. Ini menyebabkan kerugian terbesar di Januari sebesar $12,25 juta.

Mekanisme Serangan Phishing Kripto Modern

1. Pengintaian: Penyerang menggunakan data on-chain untuk menemukan dompet bernilai tinggi atau mengidentifikasi alamat yang umum digunakan (seperti alamat deposit exchange).

2. Penipuan: Untuk signature phishing, mereka membuat situs DApp palsu atau iklan palsu. Untuk address poisoning, mereka menghasilkan alamat “vanity” yang mirip.

3. Eksekusi: Mereka memancing korban untuk menandatangani kontrak berbahaya atau memanfaatkan tergesa-gesa korban untuk menyalin alamat beracun.

4. Pencurian: Dengan permit yang ditandatangani, mereka menguras aset sesuka hati. Dengan alamat beracun, dana langsung dikirim ke mereka.

Gambaran Lebih Besar: Tren 2025 Menunjukkan Medan Tempur yang Tidak Stabil

Meskipun lonjakan Januari mengkhawatirkan, penting untuk melihatnya dalam konteks tahun sebelumnya. Laporan tahunan Scam Sniffer tahun 2025 justru menunjukkan penurunan signifikan sebesar 83% dalam total kerugian phishing kripto, yang turun menjadi $83,85 juta dari hampir $500 juta di 2024. Penurunan ini disebabkan oleh meningkatnya kesadaran pengguna, fitur keamanan dompet yang lebih baik, dan gangguan terhadap kit “wallet drainer” besar.

Namun, data 2025 juga mengungkap pola penting yang menjadi pertanda lonjakan Januari. Kerugian sangat berkorelasi dengan aktivitas pasar. Kuartal ketiga (Q3) 2025 adalah periode paling aktif untuk phishing, dengan $31,04 juta dicuri, bertepatan dengan rally kuat di Bitcoin dan Ethereum. Ini menunjukkan bahwa penyerang meningkatkan operasi mereka saat keterlibatan pengguna dan volume transaksi tinggi. Selain itu, laporan tahunan menyoroti bahwa serangan signature bergaya “Permit” yang canggih bertanggung jawab atas 38% dari semua pencurian di atas $1 juta, termasuk pencurian terbesar tahun ini sebesar $6,5 juta dalam ETH dan wrapped BTC yang dipertaruhkan.

Pandangan historis ini menunjukkan bahwa phishing adalah ancaman siklik dan adaptif. Meskipun pertahanan secara umum membaik di 2025, penyerang kini menyempurnakan taktik mereka, fokus pada target bernilai tinggi dan rekayasa sosial yang lebih kompleks untuk melewati kesadaran yang meningkat. Medan tempur ini hanya bergeser, bukan menyusut.

Cara Melindungi Diri: Praktik Keamanan Kripto Esensial

Dalam menghadapi ancaman yang berkembang ini, pertahanan proaktif adalah keharusan. Berikut langkah-langkah penting yang harus diambil setiap pemilik cryptocurrency:

1. Verifikasi, Lalu Verifikasi Lagi: Jangan pernah menyalin alamat dari riwayat transaksi Anda tanpa memeriksa secara teliti seluruh string alfanumerik. Selalu gunakan bookmark yang terverifikasi atau sumber resmi untuk alamat deposit exchange. Satu karakter salah bisa menyebabkan kerugian total.

2. Pahami Apa yang Anda Tandatangani: Perlakukan setiap permintaan tanda tangan dompet dengan kecurigaan ekstrem. Sebelum menandatangani transaksi apa pun, terutama “permit” atau “approval,” verifikasi URL situs web yang meminta, periksa alamat kontrak di explorer blok, dan gunakan fitur dompet yang mendekode izin yang Anda berikan. Jangan pernah menandatangani permintaan tanda tangan dari pop-up atau tautan yang tidak dikenal.

3. Manfaatkan Fitur Keamanan Dompet: Gunakan dompet yang menawarkan simulasi transaksi dan penjelasan izin yang jelas. Pertimbangkan menggunakan dompet “hot” khusus dengan dana terbatas untuk interaksi harian dan dompet “cold” atau multisig yang lebih aman (seperti Safe) untuk menyimpan kekayaan besar. Kampanye 5.000 alamat ini menargetkan pengguna Safe karena menyimpan kekayaan besar, tetapi sifat multisig-nya tetap memberikan perlindungan superior.

4. Tetap Terinformasi dan Skeptis: Ikuti perusahaan keamanan seperti Scam Sniffer untuk pembaruan ancaman baru. Waspadai tawaran, airdrop, atau pesan dukungan pelanggan yang terlalu bagus untuk menjadi kenyataan atau mendesak tindakan segera. Phishing yang canggih kini sering melibatkan rekayasa sosial jangka panjang di platform seperti Discord atau X.

Lonjakan kerugian phishing kripto di awal 2026 adalah panggilan bangun. Era serangan spam massal yang tidak memerlukan keahlian kini bergeser ke fase baru berupa penipuan finansial yang sangat tertarget dan berbasis riset. Bagi individu, ini berarti kebersihan keamanan pribadi adalah garis pertahanan terpenting. Bagi industri, ini menegaskan perlunya inovasi berkelanjutan dalam alat keamanan yang ramah pengguna, edukasi, dan decoding transaksi yang transparan. Dalam dunia yang terdesentralisasi, tanggung jawab keamanan tertinggi ada di pengguna—menjadikan pengetahuan aset paling berharga.