Semua artikel
keamanan dompetkontrak pintarBEP20

Token Approval: Kenapa Dompet Bisa Terkuras dan Cara Mencabut Izinnya

Panduan praktis memahami persetujuan token (Token Approval), cara kontrak jahat menguras dompet, serta langkah memeriksa dan mencabut izin dengan aman di jaringan seperti BEP20.

Tim Paperino5 mnt baca

Pernahkah Anda menghubungkan dompet ke sebuah dApp hanya dengan satu klik bernama "Approve", lalu melupakannya begitu saja? Momen sekilas itu bisa tetap terbuka selama bertahun-tahun, dan ini adalah salah satu cara paling umum dompet dikuras hari ini. Dalam panduan ini kami menjelaskan apa itu "persetujuan token" (Token Approval), bagaimana penipu memanfaatkannya, dan yang terpenting: bagaimana Anda bisa memeriksa dan mencabut izin Anda sendiri, langkah demi langkah.

Apa arti "token approval" (persetujuan token)?

Koin seperti USDT di jaringan BEP20 adalah token yang tidak bergerak dengan sendirinya. Saat Anda ingin menggunakannya di aplikasi terdesentralisasi — swap, liquidity pool, atau kontrak pintar apa pun — kontrak tersebut membutuhkan izin terlebih dahulu untuk menarik token dari dompet Anda. Izin ini disebut "allowance", dan Anda memberikannya lewat transaksi "Approve".

Masalahnya, banyak aplikasi secara default meminta izin tanpa batas (Unlimited), yang artinya: "izinkan kontrak ini menarik jumlah berapa pun dari token ini, kapan saja, selamanya". Anda menandatangani sekali saja, tapi pintunya tetap terbuka sampai Anda sendiri yang menutupnya.

Menandatangani "Approve" tidak langsung memindahkan dana Anda saat itu, tapi memberi kontrak sebuah kunci permanen. Bahayanya bukan pada jumlah saat ini, melainkan pada izin terbuka yang bisa digunakan nanti.

Bagaimana kontrak jahat (drainer) menguras dompet?

Kontrak penguras (Approval Drainer) tidak "meretas" dompet Anda — mereka menipu Anda agar menandatangani izinnya sendiri. Skenario yang biasa terjadi:

  1. Anda mendarat di situs palsu yang meniru platform terkenal, atau tergiur pesan berisi "hadiah" atau "airdrop".
  2. Situs meminta menghubungkan dompet Anda, lalu menampilkan jendela tanda tangan yang tampak biasa saja.
  3. Tanda tangan itu sebenarnya memberikan izin tanpa batas atas token yang Anda miliki (seperti USDT atau token native jaringan).
  4. Tidak ada yang terlihat terjadi, sehingga Anda mengira gagal dan pergi begitu saja.
  5. Beberapa jam atau hari kemudian, penyerang menjalankan fungsi transferFrom dan menguras saldo Anda, baik sekaligus maupun bertahap.

Jebakan paling berbahaya adalah tanda tangan Permit dan Permit2: tanda tangan "off-chain" yang tidak memakan biaya gas dan tidak muncul sebagai transaksi, tapi memberikan izin penuh. Karena itulah permintaannya bisa tampak sama sekali tidak berbahaya.

Tidak ada platform resmi yang akan meminta Anda "menandatangani untuk hadiah" atau mengaktifkan ulang akun dengan memberi izin atas token Anda. Setiap permintaan tanda tangan demi uang gratis hampir pasti adalah tanda bahaya.

Tanda bahaya sebelum menandatangani

  • Situs sampai kepada Anda lewat pesan pribadi, iklan berbayar, atau akun "support" yang menghubungi Anda lebih dulu.
  • Jendela dompet menampilkan Approve atau Permit untuk token yang tidak Anda niatkan untuk ditukar sekarang.
  • Izin yang diminta tanpa batas, padahal Anda hanya butuh jumlah kecil.
  • Kontrak penerima adalah alamat asing yang tidak terverifikasi, dan tidak muncul sebagai kontrak dikenal di blockchain explorer.
  • Ada unsur mendesak dan tekanan waktu: "Penawaran berakhir dalam beberapa menit."

Bagaimana cara memeriksa dan mencabut izin Anda?

Kabar baiknya, izin bisa dicabut kapan saja, dan proses pencabutannya sederhana. Intinya, Anda mengirim transaksi yang mengembalikan batas izin ke nol.

Langkah-langkah praktis

  1. Buka alat pemeriksa izin (Revoke Tool) tepercaya lewat browser, dan pastikan Anda mengetik alamatnya sendiri, bukan dari tautan di sebuah pesan.
  2. Hubungkan dompet Anda, atau lebih baik lagi: tempel alamat publik Anda saja untuk melihatnya tanpa terhubung, lalu lakukan pencabutan setelah semuanya Anda pastikan.
  3. Pilih jaringan yang tepat (misalnya BNB Smart Chain untuk token BEP20).
  4. Periksa daftar izin: tiap baris menampilkan token, kontrak penerima, dan batas izin.
  5. Cari izin tanpa batas atau kontrak yang tidak Anda kenali, lalu klik "Revoke".
  6. Tanda tangani transaksi pencabutan, bayar biaya gas yang kecil, dan tunggu konfirmasinya.

Setiap transaksi pencabutan di blockchain membutuhkan biaya gas kecil. Prioritaskan: cabut dulu izin tanpa batas pada token bernilai tinggi (USDT, token jaringan).

Cara-cara memeriksa izin Anda

MetodeCara kerjanyaCatatan
Alat revoke khususMenampilkan semua izin dan mencabutnya dengan satu klikPaling cepat; periksa alamat situsnya dengan teliti
Blockchain explorerTab "Token Approvals" di explorer jaringanAndal dan langsung dari data on-chain
Dompet itu sendiriSebagian dompet menyediakan bagian izin bawaanPraktis jika tersedia di dompet Anda

Kebiasaan yang melindungi Anda ke depan

  • Tentukan jumlahnya: setiap kali "Approve", pilih izin sesuai kebutuhan Anda, bukan "tanpa batas", jika aplikasinya mengizinkan.
  • Periksa secara berkala: cek izin Anda setiap beberapa minggu, dan setelah berinteraksi dengan situs baru mana pun.
  • Pisahkan dompet Anda: satu dompet "uji coba" kecil untuk berinteraksi dengan situs baru, dan satu dompet "brankas" yang tidak pernah Anda hubungkan ke dApp apa pun.
  • Baca jendela tanda tangan: pahami nama fungsi dan kontrak penerima sebelum mengklik; jika tidak paham, jangan tanda tangani.
  • Waspadai tanda tangan tanpa gas: tanda tangan Permit mungkin tidak berbiaya, tapi tetap memberikan izin penuh.

Konten ini bersifat edukatif untuk meningkatkan kewaspadaan keamanan Anda, bukan nasihat finansial, hukum, atau agama. Alat revoke dan nama jaringan bisa berubah, jadi selalu verifikasi sumber resmi sendiri sebelum menghubungkan dompet atau menandatangani apa pun. Tanggung jawab melindungi kunci dan izin Anda sepenuhnya ada di tangan Anda.

Kesimpulan

Persetujuan token adalah alat yang diperlukan untuk aplikasi terdesentralisasi, tapi juga pintu belakang yang paling sering dieksploitasi. Aturannya sederhana: berikan hanya yang Anda butuhkan, dan cabut yang tidak lagi Anda gunakan. Jadikan pemeriksaan izin sebagai kebiasaan rutin, seperti merapikan dompet Anda, dan Anda akan menutup pintu terlebar yang diandalkan penipu sebelum sempat mereka ketuk. Di Paperino, kami percaya keamanan dimulai dari kesadaran: satu langkah pencabutan hari ini bisa melindungi seluruh saldo Anda esok hari.

Siap menyeberang?

Daftar, ambil bebek pertamamu, dan mulai kumpulkan USDT.

Mulai

Artikel terkait

Keberuntungan berpihak pada yang berani. Beranikan diri menyeberang — hadiahnya nyata.