Penyerang Menyedot $10 Juta dalam Crypto Setelah Serangan Phishing pada Akun Whale

Dalam insiden keamanan yang signifikan yang ditelusuri kembali ke September 2023, seorang investor cryptocurrency menjadi korban serangan phishing canggih yang akhirnya merugikan mereka sebesar $24 juta dalam aset yang dipertaruhkan. Yang paling mencolok, penyerang berhasil menyedot Ethereum senilai $10 juta ke Tornado Cash, sebuah layanan pencampuran cryptocurrency yang umum digunakan untuk menyembunyikan asal-usul dana. Insiden ini menyoroti semakin majunya ancaman siber yang menargetkan investor crypto dan kerentanan kritis dalam cara pengguna berinteraksi dengan smart contract.

Komplikasi dimulai ketika korban secara tidak sengaja mengotorisasi apa yang tampak seperti transaksi token rutin. Melalui teknik yang dikenal sebagai “Increase Allowance,” penyerang mendapatkan akses programatik ke kepemilikan crypto investor. Perusahaan keamanan blockchain seperti CertiK mengidentifikasi akun yang dikompromikan pada 21 Maret, mengungkapkan bahwa sekitar 3.700 ETH telah dialihkan ke Tornado Cash—bagian dari kerugian sebesar $24 juta yang mencakup stETH dari layanan staking cair Rocket Pool dan token rETH. Dengan ETH diperdagangkan mendekati $2.98K saat itu, ini mewakili kerugian modal yang besar bagi korban.

Bagaimana Persetujuan Token Menjadi Senjata Melawan Pengguna Crypto

Serangan ini memanfaatkan fitur dasar dari standar token ERC-20 Ethereum. Ketika pengguna berinteraksi dengan aplikasi terdesentralisasi, mereka sering memberikan izin kepada smart contract untuk memindahkan token mereka—fitur kenyamanan yang telah menjadi target utama bagi penyerang. Menurut spesialis deteksi penipuan di Scam Sniffer, korban tanpa sadar menyetujui hak pengeluaran melalui mekanisme allowance token, secara efektif memberikan kunci ke gudang crypto mereka kepada penyerang.

Teknik ini bukan hal baru, tetapi prevalensinya mengkhawatirkan. Analisis PeckShield menunjukkan bahwa penyerang mengonversi aset yang dicuri menjadi sekitar 13.785 ETH dan 1,64 juta DAI (masing-masing bernilai sekitar $1,00 pada nilai pasar saat ini). Sementara beberapa DAI ditransfer ke bursa FixedFload, sebagian besar dana yang dicuri mengalir melalui beberapa dompet yang dirancang untuk mengaburkan jejaknya.

Koneksi Tornado Cash: Pencucian Crypto yang Dicuri

Tornado Cash berfungsi sebagai bagian penting dari infrastruktur kriminal. Dengan menyetor cryptocurrency ke layanan pencampuran ini, penyerang memecah transparansi blockchain—keunggulan utama yang seharusnya dihapuskan oleh cryptocurrency. Transfer sebesar $10 juta ke Tornado Cash mewakili upaya penyerang untuk memisahkan diri dari pencurian yang dapat dilacak dan mencairkan atau memindahkan dana yang dicuri tanpa terdeteksi.

Pola Kerugian yang Meningkat: Phishing sebesar $47 Juta di Februari

Insiden September 2023 bukanlah kejadian yang terisolasi. Laporan komprehensif Scam Sniffer mengungkapkan bahwa hampir $47 juta hilang akibat penipuan terkait phishing hanya di bulan Februari. Mengganggu, 78% dari pencurian ini terjadi di jaringan Ethereum, dengan token ERC-20 menyusun 86% dari semua aset yang dicuri. Data ini menegaskan kenyataan yang mengkhawatirkan: meskipun sudah bertahun-tahun ada peringatan keamanan, investor terus kehilangan jumlah yang mencengangkan melalui teknik eksploitasi yang relatif sederhana.

Insiden terbaru semakin menunjukkan cakupan kerentanan ini. Pada 20 Maret, aktor ancaman mengeksploitasi kontrak bursa Dolomite yang usang untuk menguras $1,8 juta dari pengguna yang sebelumnya memberikan persetujuan token ke kontrak tersebut. Pengembang Dolomite mendesak pengguna untuk mencabut semua izin yang diberikan ke alamat kontrak lama, sebuah langkah reaktif yang datang terlalu terlambat untuk dana yang sudah dikompromikan.

Ketika Tanggapan Keamanan Berhasil: Studi Kasus Layerswap

Tidak setiap insiden keamanan crypto berujung pada kehilangan total aset. Pada hari yang sama Dolomite dieksploitasi, tim Layerswap berhasil mengendalikan serangan terhadap situs web mereka setelah mendeteksi akses tidak sah. Meskipun respons cepat mereka mencegah bencana total, penyerang tetap menyedot sekitar $100.000 dari sekitar 50 pengguna sebelum pelanggaran dikendalikan. Layerswap berkomitmen untuk mengembalikan dana yang terdampak dan memberikan kompensasi tambahan—sebuah keistimewaan dalam ekosistem crypto yang sering keras.

Kesimpulan: Mengapa Penyerang Menargetkan Phishing dan Persetujuan Token

Ketahanan serangan phishing dalam cryptocurrency berasal dari efektivitas dan kesederhanaannya. Berbeda dengan eksploitasi smart contract yang kompleks dan membutuhkan keahlian teknis yang tinggi, penipuan persetujuan token memanfaatkan rekayasa sosial dan kelalaian pengguna. Setiap aset yang dicuri—baik $10 juta yang disedot ke Tornado Cash maupun jumlah lebih kecil yang disedot melalui kontrak yang dikompromikan—mewakili kegagalan baik dalam kesadaran pengguna maupun infrastruktur keamanan yang lebih luas.

Bagi peserta cryptocurrency, pelajaran yang penting adalah kewaspadaan. Artinya, memeriksa setiap persetujuan kontrak, memahami izin apa yang diberikan, dan secara rutin mengaudit persetujuan aktif di platform seperti Etherscan. Untuk industri, ini menuntut pengembangan alat deteksi yang lebih baik, sistem peringatan yang lebih jelas, dan inisiatif edukasi yang membantu pengguna mengenali upaya phishing sebelum mereka mengotorisasi transaksi berbahaya. Hingga langkah-langkah ini menjadi praktik standar, penyerang akan terus menyedot jutaan dolar dalam crypto melalui phishing dan eksploitasi persetujuan token.