Pengembang XRPL, pendiri dompet Xaman, Wietse Wind pada 23 Mei mengeluarkan peringatan keamanan darurat di X, mengonfirmasi bahwa setiap harinya muncul lebih dari 20 akun X palsu yang meniru Xaman Wallet, serta lebih dari 10 domain penipuan baru yang dibuat. Pelaku menipu dengan mempromosikan desktop wallet Xaman yang sebenarnya tidak ada dan aktivitas airdrop palsu, untuk mengarahkan pengguna agar menghubungkan dompet atau menandatangani transaksi guna mencuri dana.
Skala Penipuan dan Metode Serangan: Pola yang Diketahui Dikonfirmasi oleh Wietse Wind
Postingan X Wind mengonfirmasi skala dan cara penipuan berikut:
Skala: setiap hari 20+ akun X palsu yang meniru Xaman Wallet; setiap hari 10+ domain penipuan baru dibuat; tim penipu akan terus membuat akun baru untuk menghindari pelaporan dan pemblokiran.
Media penipuan yang telah dikonfirmasi: promosi desktop wallet palsu (Xaman tidak pernah merilis versi desktop); aktivitas airdrop palsu (Xaman tidak memiliki rencana airdrop resmi apa pun); plugin browser palsu (semua plugin browser Xaman adalah penipuan; Xaman berinteraksi dengan ekosistem melalui QR code, tanpa perlu plugin); situs web yang meminta pengguna menghubungkan dompet atau menandatangani transaksi untuk mengklaim token gratis; akun layanan pelanggan palsu atau menghubungi pengguna lewat pesan pribadi; NFT penipuan yang membawa informasi menyesatkan.
Respons resmi Xaman: Wind dan timnya akan terus melaporkan semua akun penipuan yang telah diidentifikasi, tetapi tetap menyarankan pengguna agar waspada, karena akun penipuan baru terus bermunculan dan mekanisme pelaporan tidak bisa langsung membersihkan semuanya.
Tiga Produk Xaman yang Telah Dikonfirmasi “Tidak Ada”
Desktop wallet: Xaman tidak pernah merilis aplikasi desktop versi Windows, macOS, atau Linux; setiap unduhan yang mengklaim sebagai “versi desktop Xaman” adalah malware
Airdrop resmi: Xaman tidak memiliki rencana airdrop token apa pun; segala aktivitas yang mengklaim pemegang Xaman atau XRP bisa mendapatkan airdrop adalah penipuan
Plugin browser: semua interaksi resmi Xaman dilakukan melalui QR code; semua plugin Xaman terkait di browser seperti Chrome dan Firefox bukan rilis resmi, dan harus segera dilaporkan ke Chrome atau Firefox
Pertanyaan yang Sering Diajukan
Bagaimana memverifikasi keaslian aplikasi dompet Xaman resmi agar terhindar dari mengunduh versi palsu?
Aplikasi resmi Xaman hanya didistribusikan melalui dua toko aplikasi resmi, yaitu Apple App Store dan Google Play Store, dan dipublikasikan oleh XRPL Labs B.V. Saat verifikasi, pastikan nama pengembang adalah “XRPL Labs B.V.”, lalu cari langsung di App Store atau Play Store, jangan mengambil melalui tombol unduhan dari tautan pihak ketiga atau situs web penipuan. Situs resmi Xaman adalah xaman.app; domain lain yang mirip kemungkinan besar adalah penipuan. Wind dalam peringatannya secara jelas menyebutkan bahwa Xaman berinteraksi melalui QR code, bukan plugin browser, serta situs dalam ekosistem XRPL; karena itu tidak perlu dan tidak seharusnya ada plugin Xaman apa pun di browser.
Mengapa penipuan terkait Xaman melonjak pada bulan Mei, dan apa hubungannya dengan dinamika pasar XRP belakangan ini?
Aktivitas penipuan mata uang kripto umumnya berkorelasi positif dengan popularitas pasar—ketika perhatian terhadap token tertentu (seperti XRP) meningkat, harga mengalami fluktuasi yang signifikan, atau ada perkembangan penting dalam ekosistem, penipu akan memperkuat serangan terarah terhadap pengguna komunitasnya untuk memanfaatkan kelengahan perlindungan saat emosi pengguna memuncak. Bulan ini, arus dana masuk berkelanjutan ke XRP spot ETF dan dinamika perluasan ekosistem XRPL (termasuk investasi Ripple pada Squid) meningkatkan aktivitas keseluruhan komunitas XRP. Wind menyatakan bahwa jumlah penipuan yang bertambah setiap hari mencerminkan pemanfaatan berkelanjutan tingkat tinggi tim penipu terhadap merek Xaman, yang merupakan serangan rekayasa sosial di luar upaya teknis.
Peringatan bersamaan David Schwartz, mantan CTO Ripple, mencakup bentuk penipuan spesifik apa saja?
Berdasarkan laporan bulan ini, bentuk utama penipuan yang diperingatkan Schwartz mencakup: aktivitas airdrop palsu (menjanjikan XRP gratis dengan menghubungkan dompet); aktivitas giveaway palsu (biasanya mengaku sebagai figur terkenal atau pihak resmi Ripple); peniruan identitas (termasuk akun Instagram palsu yang telah dikonfirmasi meniru CEO Ripple Brad Garlinghouse untuk mempromosikan giveaway XRP); serta akun layanan pelanggan palsu. Saran Schwartz adalah: ketika pengguna melihat postingan apa pun yang seperti itu, anggaplah itu penipuan, dan verifikasi secara independen sumber informasi sebelum menandatangani transaksi apa pun.
