Belakangan ini semakin banyak saya mendengar tentang masalah keamanan di Web3, dan jujur saja, ini benar-benar topik yang penting. Masalahnya adalah, DApp pada dasarnya adalah aplikasi yang berjalan di blockchain seperti Ethereum atau BNB Chain, tetapi alih-alih mengandalkan server biasa, semuanya dikendalikan oleh smart contract. Kedengarannya keren, tapi ada jebakannya.

Seperti yang Anda lihat, keterbukaan ruang ini berarti siapa saja bisa membuat DApp atau antarmuka—dan penipu memanfaatkannya. Baru-baru ini saya perhatikan banyak orang tertipu oleh aplikasi palsu yang tampak sama persis dengan aslinya. Ini adalah apa yang disebut DApp di tangan pelaku jahat—alat untuk mencuri aset.

Cara paling umum orang kehilangan uang adalah melalui rekayasa sosial. Penipu mengaku sebagai perwakilan proyek, mengkloning seluruh server Discord, membangun kepercayaan, lalu menawarkan "kesempatan eksklusif" seperti penjualan awal atau airdrops. Korban mulai terburu-buru, menghubungkan dompet ke aplikasi berbahaya—dan semuanya selesai, dana hilang.

Ada juga penipuan dengan izin. Ketika Anda memberi DApp izin untuk memindahkan token Anda, Anda menandatangani semacam kontrak. Tapi jika Anda tidak memperhatikan jumlahnya—mungkin akses tak terbatas. Dan penipu bisa menarik token Anda tanpa batas, menggunakan fungsi seperti transferFrom(). Ini adalah salah satu cara DApp bisa menyembunyikan—pengeluaran dana secara terus-menerus.

Lebih buruk lagi adalah penipuan dengan tanda tangan. Ada metode seperti Permit dan Permit2, yang memungkinkan menyetujui token hanya dengan tanda tangan, tanpa transaksi di blockchain. Kedengarannya praktis, tapi penipu memanfaatkannya untuk menyamarkan permintaan berbahaya sebagai permintaan yang tampak aman. Anda menandatangani, berpikir itu remeh, lalu penipu menggunakan tanda tangan tersebut nanti untuk menarik uang. Dan Anda mungkin tidak menyadarinya untuk waktu yang lama.

Selanjutnya ada skema lain—situs "perbaikan blockchain" palsu. Mereka berpura-pura membantu memperbaiki kesalahan dompet atau masalah harga yang melayang, tetapi sebenarnya mereka meminta seed phrase atau kunci pribadi Anda. Jika Anda memasukkannya—dompet Anda akan kosong dalam hitungan detik. Tidak ada yang akan pernah meminta ini dari Anda.

Bagaimana melindungi diri? Pertama—jangan pernah menandatangani atau menyetujui apa pun tanpa memeriksa apa itu. Selalu berikan izin minimal yang diperlukan, bukan akses tak terbatas. Saya secara rutin masuk ke dompet saya dan mencabut izin lama yang tidak lagi diperlukan—ini kebiasaan yang menyelamatkan uang.

Kedua—gunakan dompet dengan fitur simulasi. Ini memberi Anda pratinjau apa yang akan terjadi sebelum transaksi masuk ke blockchain. Sangat berguna untuk mengidentifikasi alamat mencurigakan atau kesalahan.

Ketiga—selalu periksa sumbernya. Penipu membuat situs palsu dengan mengubah satu huruf di domain—ini sulit dideteksi. Lebih baik ketik URL secara manual atau ambil tautan dari situs resmi proyek. Dan hindari iklan pencarian—sering di situlah situs phishing bersembunyi.

Keempat—lakukan DYOR sebelum berinteraksi dengan DApp apa pun. Periksa apakah proyek sudah diaudit, siapa yang berada di baliknya, apakah ada komunitas aktif. Tim anonim atau tidak adanya aktivitas adalah tanda bahaya.

Dan yang paling penting—jika sesuatu terasa mencurigakan, berhenti. Jangan terburu-buru. Web3 memberi penghargaan kepada mereka yang tetap waspada. Dengan kebiasaan yang tepat, Anda bisa menjelajahi ruang DApps dengan tenang, tanpa mempertaruhkan aset Anda. Pengetahuan adalah garis pertahanan pertama, jadi pelajari, tetap update dengan skema penipuan terbaru, dan Anda akan tetap aman.