Home/Wiki/Panduan Keamanan: Melindungi Aset Selama Cleanup

Panduan Keamanan: Melindungi Aset Selama Cleanup

Panduan keamanan komprehensif untuk operasi rent recovery: deteksi phishing, perlindungan seed phrase, manajemen permission, dan strategi pemulihan wallet yang dikompromikan.

#Bagaimana cara mengenali situs phishing rent-recovery palsu?

Scammer secara aktif mengeksploitasi tema pemulihan SOL, membuat layanan palsu untuk mencuri dana. Kemampuan membedakan alat legitimate dari scam adalah skill yang sangat penting.

Anatomi Serangan Phishing

Tahap 1: Menarik Korban

Scammer menggunakan beberapa channel:

Iklan Google berbayar: Membeli iklan untuk query seperti "klaim SOL" atau "cleanup Solana". Situs mereka muncul di atas hasil asli dengan label "Iklan".

Promosi Twitter/X: Membuat akun mirip project populer (misalnya @SolanaCleanup bukannya @SolanaStatus), membeli followers dan mempromosikan post.

Spam Discord/Telegram: Mengirim pesan langsung di chat crypto: "Hei, saya bantu Anda recover 5 SOL dari akun kosong. Cek alat ini!"

Video YouTube palsu: Tutorial dengan view tinggi (dibeli via bot) dan link situs scam di deskripsi.

Tahap 2: Menciptakan Ilusi Legitimasi

Situs phishing terlihat profesional:

  • ✅ Design cantik (sering dicuri dari project asli)
  • ✅ Sertifikat HTTPS (gembok hijau di browser - BUKAN jaminan keamanan!)
  • ✅ Review dan counter palsu ("15,234 pengguna recovered SOL")
  • ✅ Copy logo Solana, Phantom, project terkenal

Tahap 3: Mengekstrak Signature

Setelah koneksi wallet, scammer meminta salah satu dari:

"Sign Message" untuk verifikasi - Anda menandatangani teks yang terlihat tidak berbahaya tetapi sebenarnya memberikan izin untuk transfer dana.

"Approve unlimited access" - Izin untuk smart contract menghabiskan token Anda tanpa batas.

"Emergency withdrawal" - Konon untuk "menyelamatkan dana", tetapi sebenarnya mengirim semua ke alamat scammer.

Tanda-tanda Situs Phishing

Red flags di URL:

  • ❌ Typo di domain: solchecker.com bukannya solcheckers.com, phatom.app bukannya phantom.app
  • ❌ TLD mencurigakan: .xyz, .click, .online (meskipun tidak semua situs di domain ini scam)
  • ❌ Angka di domain: solcheckers2024.com, claim-sol-3.net
  • ❌ Subdomain panjang: official-claim.solana-recovery.network

Red flags di perilaku:

  • ❌ Memerlukan koneksi sebelum menampilkan hasil - layanan legitimate menggunakan scanning Read-Only
  • ❌ Menjanjikan jumlah luar biasa: "Anda punya 50 SOL untuk diklaim!" (padahal sebenarnya 0.5 SOL)
  • ❌ Tekanan urgensi: "Klaim kedaluwarsa dalam 24 jam!" (rent tidak ada kedaluwarsa)
  • ❌ Meminta seed phrase - JANGAN PERNAH masukkan 12/24 kata di website
  • ❌ Minta deposit untuk "aktivasi" - layanan legitimate ambil fee dari jumlah recovered

Red flags di transaksi:

Saat konfirmasi aksi di wallet, perhatikan:

  • ❌ Pemotongan SOL besar (angka merah, bukan hijau)
  • ❌ Instruksi "Transfer All" atau "Set Authority"
  • ❌ Transfer ke alamat tidak dikenal tanpa menyebutkan "Close Account"
  • ❌ Request "Sign Message" bukannya "Sign Transaction"

Cara Memverifikasi Situs Sebelum Digunakan

Metode 1: Cek usia domain

Gunakan layanan whois.com:

  • Paste domain situs
  • Lihat "Creation Date"

🟢 Situs lebih dari 1 tahun - lebih mungkin legitimate
🟡 Situs dibuat 1-6 bulan lalu - butuh perhatian
🔴 Situs dibuat kurang dari sebulan - risiko scam tinggi

Metode 2: Cari penyebutan komunitas

Periksa diskusi:

  • Reddit: cari nama layanan di r/solana
  • Twitter: penyebutan dari akun terverifikasi
  • Discord: server Solana resmi

Metode 3: Test wallet

Jika ragu:

  • Buat wallet baru yang kosong
  • Kirim 0.01 SOL ke sana
  • Coba layanan di wallet ini
  • Periksa transaksi di Solscan

Jika Anda melihat instruksi mencurigakan - situs adalah scam, tetapi Anda hanya berisiko beberapa sen.

#Mengapa Anda TIDAK BOLEH memasukkan seed phrase di situs pihak ketiga?

Ini adalah aturan keamanan Web3 fundamental, pelanggaran yang dijamin akan mengakibatkan kehilangan semua dana.

Apa itu Seed Phrase dan Bagaimana Cara Kerjanya

Seed phrase (mnemonic phrase) - 12 atau 24 kata acak dari mana private key Anda dihasilkan secara matematis.

Penjelasan teknis:

Seed Phrase → (via algoritma BIP39) → Master Private Key → Public Key (alamat wallet)

Siapa yang tahu seed phrase = siapa yang mengendalikan wallet sepenuhnya dan selamanya.

Bagaimana Interaksi dApp Seharusnya Bekerja

Arsitektur yang benar (Wallet Standard):

  • dApp mengirim request: "Tandatangani transaksi ini"
  • Wallet extension (Phantom/Solflare) menunjukkan detail kepada Anda
  • Anda klik "Approve" atau "Reject"
  • Wallet menandatangani transaksi dengan private key-nya secara lokal
  • dApp menerima hanya transaksi yang ditandatangani, tetapi BUKAN key

Poin kunci: Private key tidak pernah meninggalkan perangkat Anda.

Skema Ekstraksi Seed Phrase Umum

Skema 1: "Sinkronisasi Wallet"

Situs phishing menampilkan:

⚠️ Wallet Anda tidak sinkron Masukkan recovery phrase Anda untuk re-sinkronisasi [Field input 12 kata]

Kebenaran: Wallet tidak memerlukan "sinkronisasi" via seed phrase. Ini konsep yang sepenuhnya dibuat-buat.

Skema 2: "Verifikasi untuk Airdrop"

🎁 Selamat! Anda memenuhi syarat untuk airdrop 50 SOL Verifikasi wallet Anda untuk klaim: [Masukkan seed phrase]

Kebenaran: Airdrop nyata hanya memerlukan koneksi wallet (alamat publik), bukan data pribadi.

Skema 3: "Dukungan Teknis Palsu"

Scammer menulis di pesan langsung:

Hai, saya dari Phantom Support. Kami mendeteksi aktivitas mencurigakan. Mohon berikan recovery phrase Anda untuk mengamankan akun.

Kebenaran: Support wallet resmi TIDAK PERNAH meminta seed phrase. Ini aturan #1 di FAQ mereka.

Skema 4: "Migrasi ke Versi Baru"

⚠️ Solana upgrade ke v2.0 Migrasikan wallet Anda sekarang untuk menghindari kehilangan dana [Import seed phrase lama]

Kebenaran: Upgrade blockchain tidak memerlukan migrasi wallet manual.

Apa yang Harus Dilakukan Jika Sudah Memasukkan Seed Phrase

Tindakan segera (dalam 5 menit):

  • Buat wallet baru di perangkat bersih (sebaiknya komputer/telepon berbeda)
  • Transfer SEMUA aset ke alamat baru secepat mungkin:
    • Pertama SOL
    • Kemudian token likuid (USDC, koin populer)
    • NFT terakhir (jika tidak ada waktu - korbankan mereka)
  • Tingkatkan Priority Fee ke maksimum agar transaksi Anda diproses lebih cepat dari bot scammer

Tindakan jangka panjang:

  • ❌ Wallet lama dianggap dikompromikan selamanya - bahkan jika Anda mengevakuasi dana
  • ❌ Seed phrase tidak dapat "diubah" - terkait langsung dengan wallet
  • ✅ Gunakan wallet baru untuk semua operasi masa depan
  • ✅ Tulis seed phrase baru di kertas (tidak digital!)
  • ✅ Periksa perangkat untuk malware (virus dapat mencegat seed phrase dari clipboard)

#Bagaimana cara mengelola dan mencabut izin dApp?

Bahkan dApp legitimate dapat meminta izin berlebihan yang menjadi vektor serangan ketika aplikasi itu sendiri di-hack.

Apa itu Token Approvals

Token Approval (Delegation) - mekanisme yang memungkinkan smart contract menghabiskan token Anda atas nama Anda.

Mengapa ini diperlukan:

Contoh: Anda swap USDC untuk SOL via DEX.

  • Anda memberikan DEX izin "habiskan X USDC"
  • DEX mengeksekusi exchange
  • Izin tetap aktif untuk swap di masa depan

Masalah: Jika Anda memberikan "unlimited approval", DEX dapat mengurangi jumlah USDC berapa pun kapan pun.

Jenis Izin Berbahaya

Unlimited Allowance:

Approve: Unlimited USDC Contract: [alamat DEX]

Contract dapat mengurangi seluruh saldo token kapan pun ia mau.

Permanent Delegate:

Set Authority: Permanent Delegate Delegate: [alamat Contract]

Contract menerima kontrol permanen atas akun (karakteristik Token-2022).

Transfer Authority:

Approve Transfer Authority Tokens: Semua token SPL

Contract dapat mentransfer token Anda apa pun tanpa konfirmasi tambahan.

Cara Memeriksa Izin Aktif

Metode 1: Via Settings Wallet

Phantom:

  • Settings → Trusted Apps
  • Lihat daftar situs terhubung
  • Klik "Revoke" pada yang tidak digunakan

Solflare:

  • Settings → Connected Apps
  • Hapus koneksi lama

Keterbatasan: Wallet hanya menampilkan koneksi, bukan token approvals.

Metode 2: Via Alat Khusus

Layanan seperti "Solana Revoke" (mirip revoke.cash untuk Ethereum) ada:

  • Connect wallet
  • Lihat daftar semua approval aktif
  • Dapat mencabut izin dengan transaksi

Metode 3: Via Block Explorer

Di Solscan:

  • Paste alamat wallet Anda
  • Tab → "Token Accounts"
  • Klik token → "Delegate" (jika field terisi - izin aktif ada)

Higiene Izin Reguler

Frekuensi yang direkomendasikan: Sekali setiap 1-3 bulan.

Apa yang harus dicabut:

  • ✅ DEX lama yang tidak Anda gunakan lagi
  • ✅ Test dApp yang Anda coba sekali
  • ✅ Project mati (situs tidak bekerja, tidak ada aktivitas)
  • ✅ Contract mencurigakan dengan nama tidak jelas

Apa yang harus dipertahankan:

  • 🟢 Platform yang digunakan secara aktif (DEX utama, lending)
  • 🟢 Contract staking dengan dana terkunci

Perlindungan dari Exploit Protokol

Bahkan protokol DeFi legitimate dapat di-hack. Jika Anda memberikannya unlimited approval, hacker mendapatkan akses ke token Anda.

Contoh dari sejarah:

  • 2022, Slope Wallet: Hack server → kebocoran private key → $8M hilang
  • 2023, berbagai DEX: Kerentanan contract → user drain dengan approval aktif

Strategi perlindungan:

  • Jangan pernah berikan unlimited approvals (jika protokol memerlukan - gunakan jumlah terbatas)
  • Cabut izin segera setelah digunakan (jika tidak berencana kembali segera)
  • Gunakan wallet terpisah untuk eksperimen DeFi (jangan simpan dana utama di sana)

#Bagaimana mendeteksi jika wallet Anda dikompromikan?

Deteksi dini kompromi dapat menyelamatkan sebagian dana Anda.

Tanda Awal (Wallet Belum Dikuras)

🔴 Transaksi tidak dikenal di riwayat

Anda melihat transfer keluar yang tidak Anda buat. Khususnya mencurigakan:

  • Transfer di malam hari (saat Anda tidur)
  • Jumlah bulat (10.00 SOL, 100.00 USDC)
  • Kirim ke alamat tidak familiar

Tindakan: Evakuasi segera dana yang tersisa.

🔴 Izin baru (approvals) tanpa sepengetahuan Anda

Periksa Trusted Apps di settings wallet. Jika Anda melihat koneksi ke situs yang tidak Anda ingat - kemungkinan kompromi.

🔴 Settings wallet berubah

  • RPC endpoint berubah ke yang mencurigakan
  • Ditambahkan "alamat untuk pengiriman otomatis" baru
  • Mata uang tampilan atau bahasa berubah (tanda akses dari negara lain)

🔴 Token peringatan aneh muncul

Kadang white-hat hacker (peneliti etis) mengirim token dengan nama seperti:

"WALLET-ANDA-DIKOMPROMIKAN-PINDAHKAN-DANA-SEKARANG"

Ini bukan scam - ini percobaan untuk memperingatkan Anda.

Tanda Terlambat (Setelah Pencurian)

Saldo SOL = 0 atau mendekati nol

Tepat cukup tersisa untuk satu biaya - tanda khas drainer.

Semua token berharga hilang

USDC, USDT, memecoin populer ditarik. Hanya token tidak likuid tersisa.

NFT ditransfer ke alamat tidak dikenal

NFT berharga hilang, hanya gambar spam tersisa.

Jenis Bot Drainer

Slow drainer:

  • Menarik dana secara bertahap (10-20% per hari)
  • Berharap korban tidak segera menyadari
  • Memberikan waktu untuk evakuasi jika terdeteksi

Fast drainer:

  • Mengosongkan wallet dalam 1-5 menit
  • Script otomatis, terpicu pada transfer masuk pertama
  • Hampir tidak mungkin dicegat

Sweeper-bot:

  • Memantau semua transaksi masuk
  • Jika Anda mencoba top up wallet yang dikompromikan - langsung menarik
  • Membuat self-rescue tidak mungkin

Taktik Evakuasi dari Wallet yang Dikompromikan

Jika wallet dikompromikan tetapi dana belum ditarik:

Rencana A: Evakuasi via Pemulihan Rent

SOL terkunci di akun kosong (5-20 SOL) mungkin tersisa di wallet. Hacker jarang mengambil rent karena memerlukan operasi kompleks.

Strategi:

  • Scan wallet yang dikompromikan via Read-Only
  • Siapkan transaksi pengembalian rent
  • Top up wallet dengan gas minimum (0.005 SOL) dan SECARA BERSAMAAN kirim transaksi pengembalian
  • Tentukan Priority Fee tinggi agar transaksi Anda diproses lebih dulu

Rencana B: Jito Bundles (Teknik Lanjutan)

Jito - infrastruktur MEV Solana yang memungkinkan urutan transaksi terjamin:

  • Buat bundle dua transaksi: top-up + pengembalian rent
  • Kirim via Jito RPC
  • Kedua transaksi masuk blok secara bersamaan

Memerlukan: Keterampilan teknis dan pemahaman MEV.

Rencana C: Terima Kerugian

Jika kurang dari 0.1 SOL tersisa di wallet, upaya evakuasi mungkin lebih mahal daripada hasilnya.

#Bagaimana cara memeriksa token via RugCheck sebelum interaksi?

Sebelum membeli, menjual, atau membakar token, sangat penting untuk memeriksa contract-nya untuk tanda-tanda penipuan.

Apa yang RugCheck Verifikasi

Mint Authority (Hak Pencetakan Token):

🟢 Disabled - creator tidak dapat mencetak token baru (bagus)
🔴 Enabled - creator dapat mencetak jumlah tak terbatas, menghancurkan harga (buruk)

Freeze Authority (Hak Pembekuan):

🟢 Disabled - tidak ada yang dapat membekukan saldo Anda
🔴 Enabled - creator dapat memblokir semua operasi token

Top Holders (Pemegang Terbesar):

🟢 Terdistribusi - top-10 memiliki <30% dari supply
🟡 Terkonsentrasi - top-10 memiliki 30-60%
🔴 Konsentrasi berbahaya - top-3 memiliki >70% (risiko dump)

Liquidity Lock:

🟢 Locked - likuiditas terkunci di smart contract selama N bulan
🔴 Unlocked - creator dapat menarik likuiditas kapan saja (rug pull)

Contract Verification:

🟢 Verified - source code dipublikasikan dan cocok dengan bytecode
🔴 Unverified - tidak mungkin memeriksa apa yang dilakukan contract

Interpretasi Rating

RugCheck Score: Low Risk (0-3 flags)

✅ Dapat berinteraksi
Contoh: USDC, memecoin populer seperti BONK, WIF

RugCheck Score: Medium Risk (4-6 flags)

⚠️ Memerlukan kehati-hatian
Contoh: Token baru dengan Mint Authority aktif tetapi konsentrasi holder rendah

RugCheck Score: High Risk (7-10 flags)

🔴 Tidak direkomendasikan berinteraksi
Contoh: Freeze Authority aktif + top-1 holder memiliki 90%

RugCheck Score: Critical (10+ flags)

🚫 Dijamin scam
Contoh: Semua red flags + contract tidak terverifikasi

Aplikasi Praktis Selama Cleanup

Sebelum membakar token spam:

  • Klik "Check RugCheck" di interface alat cleanup
  • Jika Anda melihat Critical atau High Risk - bakar dengan aman
  • Jika Anda melihat Low Risk - pastikan itu benar-benar sampah, bukan token berharga

Sebelum membeli token:

  • SELALU periksa via RugCheck sebelum pembelian pertama
  • Jika Anda melihat Freeze Authority enabled - tolak (dapat dibekukan setelah pembelian)
  • Periksa usia token (token baru = risiko lebih tinggi)
Panduan Langkah demi LangkahTopik Teknis Lanjutan

SolChekers

Our mission is to make the Solana blockchain cleaner, lighter, and more efficient for everyone by reclaiming unused rent deposits.

Built with ❤️ by Solana enthusiasts

Knowledge Base

Important

SolChekers is a non-custodial tool. We do not have access to your private keys. Use at your own risk.

Official URL verification:
solchekers.com

© 2025 SolChekers.com. Not affiliated with the Solana Foundation.