Pudgy World Dipalsukan! Malwarebytes Memperingatkan Situs Phishing Mencuri Kata Sandi Dompet

Perusahaan keamanan siber Malwarebytes Labs mengeluarkan peringatan darurat pada hari Selasa, tentang sebuah situs palsu dengan domain “pudgypengu-gamegifts[.]live” yang sedang menyamar sebagai permainan browser Pudgy World yang baru diluncurkan pada 10 Maret, dan berusaha mencuri kata sandi dompet cryptocurrency.

Metode serangan phishing yang sangat canggih: menyalin 11 antarmuka dompet

Insinyur riset malware senior Malwarebytes, Stefan Dasic, menjelaskan secara rinci logika desain serangan ini dalam laporannya. Beberapa fitur Pudgy World (seperti verifikasi kepemilikan NFT atau membuka kunci konten permainan) memerlukan pemain untuk menghubungkan dompet crypto mereka, dan penyerang memanfaatkan langkah yang masuk akal ini untuk menipu:

“Website phishing ini memanfaatkan proses ini. Ketika pengunjung memilih dompet mereka di situs palsu, halaman akan menampilkan tampilan yang tampak seperti antarmuka pembuka kunci dompet asli. Bagi pengguna, ini tampak sama sekali seperti perangkat lunak dompet crypto yang mereka kenal dan percayai.”

Dasic juga menunjukkan bahwa serangan ini sangat mengesankan dari segi sumber daya teknis—penyerang telah membuat 11 antarmuka pengguna (UI) yang meniru berbagai dompet berbeda, hampir tidak ada dompet yang tidak menjadi sasaran. Baik pengguna yang memiliki Ethereum, Solana, maupun aset multi-chain lainnya, akan menerima antarmuka pembuka kunci dompet palsu yang sangat realistis. Ia berpendapat bahwa pembuatan 11 set UI palsu ini “bukanlah hal yang mudah,” yang menunjukkan kemungkinan adanya “aktor ancaman yang memiliki sumber daya melimpah,” atau penggunaan kembali paket alat phishing komersial yang dirancang khusus untuk serangan semacam ini.

Latar belakang merek Pudgy World dan risiko keamanan yang saling terkait

Pudgy World adalah permainan browser gratis yang didasarkan pada merek NFT Pudgy Penguins, di mana pemain dapat menjelajahi dunia virtual, menyesuaikan avatar penguin, dan menyelesaikan misi. Sejak diakuisisi oleh CEO Luca Netz pada tahun 2022, Pudgy Penguins telah berkembang dari sekadar koleksi NFT menjadi merek konsumen yang mencakup produk ritel, permainan mobile, dan permainan web.

Namun, Pudgy Penguins sebelumnya juga pernah menjadi sasaran serangan serupa. Pada Desember 2024, perusahaan keamanan blockchain Scam Sniffer memperingatkan bahwa penyerang pernah menggunakan iklan Google berbahaya untuk menyamar sebagai platform Pudgy Penguins dan menipu pengguna agar menghubungkan dompet mereka. Para peneliti menunjukkan bahwa serangan semacam ini biasanya muncul bersamaan dengan peristiwa besar dari proyek NFT terkenal, yang menarik banyak pengguna baru dan menciptakan peluang terbaik bagi serangan.

Saran perlindungan: bagaimana menghindari menjadi korban

Malwarebytes memberikan langkah-langkah perlindungan berikut bagi pengguna Pudgy World:

• Hanya akses situs resmi melalui bookmark: hindari masuk ke permainan melalui tautan dari mesin pencari atau media sosial.
• Waspadai munculnya permintaan kata sandi dompet: permintaan kata sandi yang sah tidak akan pernah muncul di konten web; jika halaman meminta memasukkan kata sandi di browser, segera hentikan tindakan.
• Jangan klik tautan di pesan pribadi atau media sosial: tautan resmi dari proyek crypto harus diperoleh langsung dari Twitter/X resmi atau Discord yang dipasang di pin.
• Tindakan darurat jika sudah memasukkan kredensial: jika memasukkan kredensial dompet di situs yang mencurigakan, segera ubah kata sandi dompet; jika curiga dompet telah disusupi, pertimbangkan untuk memindahkan aset ke alamat dompet baru.

Pertanyaan umum

Bagaimana memastikan bahwa saya mengakses Pudgy World yang asli dan bukan situs palsu?

Caranya termasuk membandingkan domain dengan domain resmi Pudgy Penguins (perhatikan karakter tambahan atau tanda hubung), mendapatkan tautan permainan langsung dari Twitter/X resmi atau Discord, dan menyimpan alamat resmi di bookmark daripada mencarinya kembali melalui mesin pencari setiap kali.

Mengapa penyerang langsung bertindak setelah permainan baru diluncurkan?

Stefan Dasic dari Malwarebytes menjelaskan bahwa waktu serangan sengaja dipilih—peluncuran permainan baru menarik banyak pengguna baru yang belum terbiasa dengan proses menghubungkan dompet, sehingga mereka lebih mudah lengah. Selain itu, lonjakan pencarian untuk permainan baru membuat situs palsu lebih mudah muncul di hasil pencarian teratas.

Data FBI menunjukkan bahwa kerugian akibat penipuan phishing pada 2024 melebihi 70 juta dolar. Seberapa besar risiko bagi pengguna crypto?

Biro Investigasi Federal (FBI) melaporkan bahwa pada 2024, ada 193.407 laporan penipuan phishing dan penipuan lainnya, dengan kerugian lebih dari 70 juta dolar, belum termasuk banyak kasus yang tidak dilaporkan. Pengguna crypto berisiko lebih tinggi karena sifat anonimitas dan ketidakmampuan membatalkan transaksi—setelah aset dipindahkan ke alamat penyerang, hampir tidak mungkin untuk mendapatkannya kembali.