Sybil Millionaires: Bagaimana Pemburu Airdrop Menipu Proyek dan Merebut Keberuntungan

“Dalam satu malam, Anda bisa membuat hingga 10 akun berkualitas. Ini bukan ilmu roket, ini hanya pekerjaan sehari-hari. Itu sebabnya banyak orang yang FOMO karena hal ini,” kata Ilya, seorang warga Ukraina berusia 33 tahun yang sumber pendapatan utamanya berasal dari airdrop.
Ilya (dia meminta CoinDesk untuk mengubah namanya) juga memperdagangkan kripto untuk mendapatkan keuntungan, tetapi airdrop telah menyita sebagian besar waktunya selama beberapa bulan terakhir, katanya kepada saya melalui Zoom, berbicara dari “negara Eropa Selatan.”
Ilya adalah salah satu dari banyak pedagang kripto yang menghasilkan uang dari serangan Sybil pada token airdrop. Dengan kata lain, mereka membuat banyak akun pada proyek blockchain yang diharapkan akan mengirimkan tokennya melalui udara, lalu mereka mengambil token sebanyak yang mereka bisa. (Serangan “Sybil” mendapatkan namanya dari sebuah buku tahun 1973 tentang seorang wanita dengan gangguan identitas disosiatif.)
Baca selengkapnya: Arbitrum Akan Menerjunkan Token Baru dan Transisi ke DAO
Serangan tersebut mengeksploitasi lemahnya kemampuan proyek untuk mengidentifikasi dan menyingkirkan akun palsu serta menarik puluhan dan ratusan ribu dolar dari setiap airdrop. Setelah mendapat token, mereka langsung menjualnya.
Perlombaan uang gratis
Proyek keuangan terdesentralisasi (DeFi) menggunakan airdrop – pemberian token gratis ke dompet anggota aktif komunitas blockchain – untuk menarik lebih banyak pengguna dan mendorong aktivitas di blockchain proyek, seperti menyediakan likuiditas ke bursa terdesentralisasi, berinteraksi dengan kontrak pintar dan transaksi lainnya.
Dengan airdrop, proyek mencoba mengidentifikasi dan memberi penghargaan kepada pengguna aktif tanpa memberikan token kepada orang yang telah membuat akun pada menit terakhir sebelum airdrop untuk mengambil token tanpa benar-benar terlibat dengan proyek tersebut. Setelah mereka mendapatkan token, orang-orang ini langsung menjualnya, sehingga menurunkan harga token tersebut.
Penyerang Sybil terus mencoba menipu sistem, meniru aktivitas blockchain yang sehat dari banyak akun milik satu orang atau tim. Oleh karena itu, pengorganisasian airdrop menjadi sebuah permainan yang tidak ada habisnya bagi proyek-proyek – dan mereka masih jauh dari kata menang.
Misalnya, selama airdrop baru-baru ini untuk protokol penskalaan Ethereum Arbitrum, pengguna dan entitas yang mengendalikan banyak alamat menerima hampir 48% dari semua token yang didistribusikan, menurut para peneliti.
Sybil jutawan
Ilya berusia 33 tahun, dan spekulasi kripto telah menjadi pekerjaan utamanya selama enam tahun terakhir. “Saya mulai melakukannya pada akhir tahun 2016, sebelum ICO heboh,” katanya. Dia dulunya adalah pemilik usaha kecil, berdagang gandum di Ukraina, sebelum terjun ke pemasaran online. Ketika dia mengetahui tentang kripto, segalanya berubah. Dia berinvestasi dalam beberapa penawaran koin awal dan keuntungannya sepuluh kali lipat.
Setelah hype ICO mereda, penawaran pertukaran awal (IEO) muncul, lalu kegilaan DeFi tahun 2020, lalu obsesi non-fungible token (NFT). Jika Anda mendahului suatu tren, kata Ilya, itu hanyalah hadiah uang gratis, dan airdrop hanyalah peluang terbaru.
Satu orang yang saya kenal mendapat 200.000 token dari beberapa ribu akun
“Airdrops adalah cara yang secara hukum lebih aman untuk mendistribusikan token proyek dibandingkan ICO,” kata Igor Pertsia, pendiri dana ventura Hypra. Dia mengatakan penyerang Sybil yang sangat cekatan dapat mendapatkan kripto hingga beberapa juta dolar dari satu serangan udara, menargetkan proyek seperti Ethereum Name Service (ENS), Sui, Aptos, dan lainnya.
“Saya mengenal orang-orang yang menghasilkan $1 juta hingga $2 juta hanya dari Arbitrum,” kata Pertsia kepada CoinDesk. “Tidak seperti ICO, banyak di antaranya bekerja seperti [skema] Ponzis, peserta airdrop tidak banyak membicarakannya karena semakin banyak orang yang ingin bergabung, semakin sedikit yang didapat.”
Buktinya bukan sekedar anekdotal. Peneliti Blockchain telah melihat dompet kripto yang mengumpulkan token Arbitrum ARB senilai lebih dari $1 juta dari berbagai dompet lain, menunjukkan bahwa dompet tersebut milik orang yang sama. Dalam beberapa kasus, dompet tersebut ternyata milik penipu phishing, yang baru saja menyedot dana dari beberapa dompet korban, yang kemudian ditemukan.
Beberapa pengguna multi-akun mengumpulkan total token yang lebih sedikit. Para peneliti menemukan setidaknya 198 alamat yang mengumpulkan dana dari beberapa alamat lain setelah cuplikan saldo diambil dan daftar dompet yang memenuhi syarat dikonfirmasi.
‘Bukan ilmu roket’
Ilya bukan salah satu dari jutawan Arbitrum itu, katanya. Beberapa akunnya terdeteksi sebagai bagian dari serangan Sybil dan dikeluarkan dari airdrop. Namun lima akun yang dia dirikan berhasil menerima 20.000 token ARB – hampir dua kali lipat jumlah maksimum yang dapat diperoleh satu akun selama airdrop (10.250 token).
Ilya tidak ragu untuk menjual tokennya seharga $1,40 per token, demi keuntungan yang jauh melebihi pengeluarannya: untuk mempertahankan satu akun berkualitas yang tidak akan terpotong, dia harus membayar sekitar $50 untuk biaya bahan bakar untuk transaksi di jaringan, katanya .
“Satu orang yang saya kenal mendapat 200.000 token dari beberapa ribu akun. Dia memiliki tim yang masing-masing menjalankan 500 akun,” kata Ilya.
Ilya hanya memiliki satu karyawan yang membantunya mengelola akun, yang dibayar dengan gaji tetap dan bagian keuntungan dari airdrop. Ilya mengatakan keahlian teknis tidak diperlukan untuk mengenali airdrop yang menguntungkan. Jika Anda bisa menganalisis dinamika sosial dan merasakan tren selanjutnya, itu sudah cukup.
Dalam satu malam, Anda dapat membuat hingga 10 akun berkualitas. Ini bukan ilmu roket, ini hanya pekerjaan sehari-hari
Menjaga akun-akun tersebut tetap hidup adalah “bukan ilmu roket,” dan bahkan anak-anak sekolah menengah dapat memiliki banyak dompet blockchain yang layak untuk menghasilkan uang dari airdrop. “Saya mengenal beberapa orang yang belum genap berusia 18 tahun, masing-masing menjalankan 150 akun, dan salah satu dari mereka baru-baru ini menghasilkan $500.000 dari airdrop,” katanya.
“Anak-anak berusia 20 tahun merindukan booming ICO, dan sekarang ini adalah gelombang baru dari generasi muda dan kelaparan,” kata Pertsia.
Mempertaruhkan itu
Anda tidak pernah tahu proyek apa yang akan menjatuhkan token suatu hari nanti, jadi pemburu airdrop memantau beberapa proyek yang tampaknya menjanjikan. Kriteria?
“Ini harus diketahui dengan baik, dengan banyak dana yang terkumpul, banyak pengembang dan investor terkemuka, banyak hype di sekitarnya dan relevan dengan apa yang terjadi di crypto saat ini,” kata Ilya. Proyek yang memenuhi kriteria ini saat ini termasuk zksynk, StarkNet dan LayerZero, dan segala sesuatu yang berhubungan dengan penskalaan Ethereum, dia yakin.
Baca selengkapnya: Sam Kessler - Arbitrum Menunjukkan Betapa Berantakannya (dan Rumitnya) Crypto Airdrops
Sambil menunggu airdrop, pemburu tersebut berisiko kehilangan uang mereka jika proyek diretas dan semua likuiditas terkuras habis. Protokol DeFi telah menjadi target favorit peretas dan kehilangan $2 miliar pada tahun 2022 saja, menurut perusahaan analisis blockchain Chainalysis. Jembatan lintas rantai khususnya tampaknya menjadi salah satu target serangan yang paling menarik.
“Orang-orang akan menuangkan likuiditas dengan harapan mendapatkan airdrop [di masa depan], dan kemudian jembatan itu diretas dan beberapa peretas berhasil lolos dengan $5.000 Anda,” kata Ilya. Dia tidak ingat kehilangan banyak uang dalam serangan semacam itu, kata Ilya, tetapi orang-orang yang dia kenal memiliki token senilai hingga $10,000 dalam protokol peminjaman Euler yang baru-baru ini dieksploitasi. Setidaknya penyerang dengan sukarela mengembalikan dana tersebut.
Berburu para pemburu
Alex Momot, CEO startup kripto Peanut Trade, mengatakan timnya telah memantau serangan Sybil terhadap airdrop dengan cermat. Salah satu layanan yang disediakan Peanut adalah membantu proyek DeFi menghindari penyalahgunaan tersebut. Biasanya taktik pemburu airdrop cukup sederhana, katanya: Lakukan transaksi minimal dengan jumlah token minimal hanya untuk melewati ambang batas kelayakan.
Pemburu sering kali mendanai dompet mereka dengan menarik uang dari bursa terpusat. Karena semua penarikan tersebut diproses dari hot wallet bursa, yang mengumpulkan koin dari banyak pengguna di satu tempat, tidak mungkin untuk melihat siapa sebenarnya yang menarik token. Hal ini membuat lebih sulit untuk mengidentifikasi dompet yang menerima dana dari dompet yang sama dan tampaknya milik pemilik yang sama.
Namun, masih ada cara untuk mengecualikan pemburu airdrop dengan banyak akun dari distribusi. Misalnya, proyek mungkin memangkas semua dompet yang hampir tidak melewati ambang batas.
“Di satu sisi, tidak ada proyek buruk yang mendapatkan daya tarik, bahkan dengan cara ini, namun mereka tertarik untuk menciptakan komunitas nyata dan memiliki daya tarik nyata,” kata Momot. “Yang terburuk adalah, proyek kehilangan jutaan kapitalisasi pasar pada saat pencatatan di bursa [karena] pengguna tersebut segera menjual.”