Pi Network tutup darurat fitur pembayaran: Lebih dari 4,4 juta Pi Coin diserang oleh penipuan phishing "legal"

Penipuan phishing yang rumit menggemparkan komunitas Pi Network dan telah mengakibatkan pencurian lebih dari 4.400.000 koin Pi. Penipuan ini tidak memanfaatkan kerentanan teknis, tetapi dengan jahat menyalahgunakan fungsi “permintaan pembayaran” bawaan jaringan, dikombinasikan dengan keterbukaan dan transparansi data blockchain, untuk melakukan serangan rekayasa sosial yang tepat pada pengguna.

Di bawah tekanan kerugian komunitas yang terus meningkat, Pi Core Team baru-baru ini segera menangguhkan fungsi “Kirim Permintaan Pembayaran”. Insiden ini mengungkapkan dilema industri umum dalam skala yang mencengangkan: bagaimana fungsi protokol yang bekerja dengan baik secara desain dapat menjadi alat yang efisien di tangan penipu di bawah “kode adalah hukum” dan transaksi blockchain yang tidak dapat diubah, serta risiko nyata yang dihadapi oleh pengguna pemula ketika melangkah ke dunia on-chain.

Penjarahan “Sah”: Bagaimana Fitur Permintaan Pembayaran Didistorsi menjadi Alat Penipuan

Bagi pengguna “pelopor” Pi Network, akhir tahun 2025 seharusnya menjadi periode kritis untuk menyaksikan kemajuan proyek, tetapi penjarahan aset digital diam-diam telah membuat komunitas panik. Menurut peringatan luas dari pengguna komunitas di platform X, jenis penipuan baru mencuri [Pi Coin] dari dompet pengguna dalam skala besar(https://www.gate.com/price/pi-network-pi)。 Dalam pengingat yang serius, penipuan tidak menggunakan teknik peretasan canggih untuk membobol protokol, melainkan dengan cerdik “secara sah” mengeksploitasi fitur standar dompet Pi Network, permintaan pembayaran.

Modus operandi langsung dan efisien: scammers pertama kali menggunakan alat publik seperti penjelajah blockchain Pi untuk memindai dan menyaring alamat dompet yang menyimpan saldo koin Pi yang besar. Setelah target terkunci, mereka mengirim permintaan transfer langsung ke alamat tersebut melalui fitur permintaan pembayaran dompet. Kuncinya adalah ketika pengguna yang tidak menaruh curiga melihat permintaan ini di antarmuka dompet, setelah mereka mengklik “Setujui”, dompet secara otomatis menjalankan operasi tanda tangan dan transfer, dan aset secara instan dan tidak dapat diubah ditransfer ke alamat penipu.

Pemimpin opini komunitas “Pi OpenMainnet 2025” mengklarifikasi bahwa ini bukan kerentanan sistem. "Terus terang, itu bukan celah sama sekali. Begitulah cara kerja desain dompet. Satu-satunya cara Anda bisa kehilangan koin Pi Anda adalah jika Anda secara pribadi menyetujui transaksi tersebut. Kebutuhan ini menggeser inti masalah dari kelemahan teknis ke kesadaran keamanan dan serangan rekayasa sosial. Penipu sering menyamar sebagai kenalan pengguna, administrator komunitas, atau bahkan tim resmi, membuat permintaan pembayaran tampak sah dan memikat pengguna untuk dengan mudah mengklik persetujuan tanpa verifikasi. Metode serangan ini, seperti pisau tajam yang ditempa menggunakan aturan protokol itu sendiri, secara akurat menusuk pengguna yang kurang menyadari risiko transaksi on-chain.

Rantai industri besar di balik angka: “model bisnis” mencuri lebih dari 800.000 Pi dalam satu bulan

Jika kasus penipuan sporadis masih merupakan insiden yang terisolasi, maka data yang terekspos dalam insiden ini mengungkapkan rantai industri hitam berskala besar dan terus beroperasi. Menurut data on-chain yang dibagikan oleh pelacak komunitas seperti “Pembaruan Jaringan Pi”, alamat dompet tertentu menjadi kumpulan dana pusat dalam penipuan ini.

Alamat itu, GCD3SZ3TFJAESWFZFROZZHNRM5KWFO25TVNR6EMLWNYL47V5A72HBWXP, terus menerima sejumlah besar uang curian selama berbulan-bulan. Data menunjukkan bahwa arus masuk bulanan Pi Coin Jumlahnya secara mengejutkan stabil: sekitar 877.900 pada Juli 2025, 743.000 pada Agustus, 757.000 pada September, 563.000 pada Oktober, dan 622.700 pada November. Menambah kekhawatiran, selama paparan penipuan yang meluas pada bulan Desember, arus masuk alamat meningkat alih-alih menurun, mencapai lebih dari 838.000. Ini berarti bahwa dalam enam bulan terakhir saja, jumlah total koin Pi yang mengalir ke alamat tunggal ini dengan mudah melampaui 4.400.000.

Rentetan data dingin ini melukiskan gambaran yang jelas: ini bukan penipuan individu yang tidak disengaja, tetapi operasi kriminal yang terorganisir dan efisien. Para penipu tampaknya telah menetapkan proses standar mulai dari penyaringan target, pengiriman permintaan phishing, dan pengumpulan dana. Arus masuk uang curian yang stabil dan besar setiap bulan menunjukkan bahwa “bisnisnya” mencakup basis pengguna yang besar dan terus “diumpan”. Lonjakan data Desember dapat berarti eskalasi taktik penipuan atau perluasan lebih lanjut dari cakupan serangan. Penipuan industri ini telah membawa tantangan kepercayaan dan keamanan yang serius ke ekosistem yang masih dalam tahap awal pengembangan dan memiliki sejumlah besar pemula blockchain.

Daftar data utama rantai penipuan skala besar

Alamat dompet inti yang terlibat:

GCD3SZ3TFJAESWFZFROZZHNRM5KWFO25TVNR6EMLWNYL47V5A72HBWXP

Data arus masuk uang curian bulanan (2025):

Juli: sekitar 877.900 pi

Agustus: sekitar 743.000 pi

September: sekitar 757.000 pi

Oktober: Sekitar 563.000 pi

November: sekitar 622.700 pi

Desember: Sekitar 838.000 pi (kenaikan terus menerus)

Kerugian kumulatif: Lebih dari 4.400.000 Pi

Inti dari penipuan: serangan rekayasa sosial yang menyalahgunakan fungsi kepatuhan, dan karakteristik operasi industri sudah jelas.

Rem darurat dan kontradiksi mendasar: respons tim Pi dan masalah abadi Web3

Dalam menghadapi kepanikan yang berkembang di komunitas dan kerugian yang terus berkembang, tim resmi Pi Network mengambil tindakan paling langsung tetapi juga tidak berdaya - menekan tombol jeda dengan segera. Menurut saluran komunitas seperti “Pi Network Alerts”, tim telah menonaktifkan sementara fitur “Kirim Permintaan Pembayaran” dompet sepenuhnya. Keputusan ini tidak diragukan lagi merupakan intervensi “bedah” yang bertujuan untuk memotong vektor serangan scammer di sumbernya, mengulur waktu untuk langkah-langkah keamanan yang lebih baik untuk dievaluasi dan diterapkan.

Namun, penghentian ini juga menyoroti paradoks mendasar dalam ekosistem terdesentralisasi: bagaimana secara efektif melindungi pengguna yang kurang berpengalaman dari bahaya sambil memastikan transparansi, tanpa izin, dan otonomi pengguna (etos inti Web3)? Fitur permintaan pembayaran Pi Network sendiri netral, menyederhanakan proses memulai transaksi antar pengguna dan merupakan bagian dari pengalaman pengguna yang baik. Tetapi transparansi penuh blockchain (siapa pun dapat melihat saldo alamat) dikombinasikan dengan kenyamanan fungsionalitas memiliki konsekuensi bencana ketika dieksploitasi dengan jahat.

Tim Pi menggambarkan jeda sebagai tindakan stop-loss sementara daripada solusi permanen. Diperkirakan, solusi di masa mendatang dapat mencakup: memperkenalkan mekanisme daftar putih permintaan, menambahkan label konfirmasi sekunder wajib dan peringatan risiko ke permintaan pembayaran, atau memperkenalkan pemfilteran permintaan berdasarkan sistem reputasi. Tetapi setiap opsi dapat mengorbankan kenyamanan atau memperkenalkan sensor terpusat sampai batas tertentu, membutuhkan pertukaran yang sulit antara keamanan dan pengalaman, desentralisasi, dan perlindungan. Panduan komunitas saat ini jelas: tidak ada permintaan pembayaran dari sumber apa pun, baik yang tampaknya berasal dari teman, keluarga, atau akun resmi, yang tidak akan pernah disetujui sampai fungsionalitas dipulihkan.

Melihat masalah umum di industri dari insiden Pi: Rekayasa sosial adalah tumit Achilles dari keamanan Web3

Krisis Pi Network sama sekali tidak unik. Dengan cara yang ekstrem, sekali lagi mengekspos mata rantai industri blockchain yang paling rentan menjadi sorotan: tidak peduli seberapa kuat lapisan protokolnya, pengguna di ujung ujung dapat menjadi mata rantai terlemah di seluruh rantai keamanan. Sepanjang sejarah aset kripto, dari hari-hari awal penipuan “layanan pelanggan pertukaran palsu” hingga munculnya “airdrop palsu” dan “phishing resmi” yang tak ada habisnya, seringkali bukan kerentanan kontrak pintar yang menyebabkan kerugian aset terbesar, tetapi serangan rekayasa sosial terhadap sifat manusia.

Insiden ini adalah panggilan bangun untuk semua proyek blockchain, terutama yang memiliki basis pengguna yang besar dan proporsi pemula yang tinggi. Ini menimbulkan beberapa pertanyaan yang harus dijawab:

1. Di mana intinya pendidikan pengguna? Apakah pihak proyek puas dengan hanya menceritakan “pentingnya kunci pribadi”, atau apakah perlu menjadikan “bagaimana mengidentifikasi dan menanggapi berbagai serangan rekayasa sosial” sebagai kursus wajib?
2. Bisakah desain produk lebih “sangat mudah”? Dapatkah buffer keamanan dibuat pada operasi penting (misalnya, menyetujui transaksi, mengotorisasi aset) dengan peringatan risiko yang lebih terlihat, penundaan operasional, atau kompleksitas (meskipun berpotensi memengaruhi pengalaman)?
3. Bagaimana cara kerja tata kelola komunitas? Bisakah kita membangun jaringan terdesentralisasi “penandaan alamat risiko” atau “peringatan penipuan” di mana kekuatan komunitas adalah bagian dari keamanan?

Harga pasar Pi Coin tampaknya tetap tidak terpengaruh oleh insiden tersebut, diperdagangkan sedikit hampir 1% dalam perdagangan akhir tahun, melayang di sekitar $0,20381. Ini mungkin menunjukkan bahwa pasar menganggap ini lebih sebagai insiden keamanan operasional lokal daripada penolakan nilai fundamental proyek. Namun, bagi jutaan pengguna komunitas Pi, insiden ini tidak diragukan lagi merupakan pencerahan keamanan yang mendalam dan mahal. Ini berfungsi sebagai pengingat kejam bagi semua orang yang terlibat: di dunia “Bukan kunci Anda, bukan kripto Anda,” kontrol sejati juga berarti tanggung jawab penuh. Garis pertahanan utama untuk melindungi keamanan aset Anda selalu merupakan penilaian bijaksana Anda sendiri. Untuk proyek seperti Pi Network, dalam perjalanan untuk mempromosikan implementasi mainnet dan mewujudkan visi besar, bagaimana membangun sistem yang tidak hanya dapat menahan serangan eksternal tetapi juga memandu sejumlah besar pengguna pemula untuk menavigasi dengan aman akan menjadi ujian yang lebih sulit daripada pengembangan teknologi.