Peretasan $440.000 mengekspos ancaman dari penipuan "izin" di Ethereum

Seorang peretas telah mencuri lebih dari $ 440.000 dalam USDC setelah pemilik dompet secara tidak sengaja menandatangani tanda tangan “izin” berbahaya, menurut peringatan yang diterbitkan Senin oleh platform anti-phishing Scam Sniffer.

Insiden itu terjadi di tengah peningkatan tajam dalam kerusakan akibat serangan phishing. Pada bulan November saja, sekitar $ 7,77 juta ditarik dari lebih dari 6.000 korban—meningkat 137 persen dari Oktober, meskipun jumlah korban turun 42 persen.

Menurut laporan tersebut, “perburuan paus” terus meningkat dengan kasus terbesar mencapai $1,22 juta hanya dari satu tanda tangan izin, menunjukkan bahwa meskipun jumlah kasus menurun, tingkat kerusakan per korban meningkat secara signifikan.

Apa itu Penipuan Izin?

Penipuan izin mengeksploitasi praktik mengelabui pengguna untuk menandatangani transaksi yang tampaknya sah tetapi sebenarnya memberi penyerang hak untuk membelanjakan uang mereka. Banyak dApps berbahaya menyamarkan konten, memalsukan nama kontrak, atau membuat permintaan penandatanganan yang terlihat seperti operasi rutin.

Jika pengguna tidak memeriksa ulang, tanda tangan tersebut memberi penyerang izin penuh untuk menggunakan token ERC-20 di dompet. Setelah dilisensikan, mereka biasanya segera menguras dana mereka.

Metode ini memanfaatkan fungsi izin Ethereum — yang dirancang untuk memfasilitasi otorisasi pengeluaran untuk aplikasi tepercaya. Namun, kenyamanan menjadi cacat ketika hak ini jatuh ke tangan yang salah.

Sebuah inisiatif antarlembaga baru telah diluncurkan untuk membongkar jaringan penipuan kripto internasional, khususnya model “penyembelihan babi” yang telah menyebabkan kerugian miliaran dolar dalam beberapa tahun terakhir. Banyak lembaga seperti DOJ, FBI, Dinas Rahasia dan Departemen Keuangan AS akan berkoordinasi untuk menindak kelompok-kelompok kriminal ini.

Mengapa penipuan izin sulit dikenali?

Tara Annison, kepala produk di Twinstake, mengatakan bahayanya adalah bahwa penyerang dapat menarik dana dalam satu transaksi atau menunggu sampai korban memuat lebih banyak token ke dalam dompet - selama mereka telah menetapkan masa berlaku tanda tangan yang cukup lama.

“Keberhasilan penipuan jenis ini terletak pada pengguna yang menandatangani sesuatu yang tidak mereka pahami. Ini mengeksploitasi subjektivitas dan impulsif manusia,” katanya.

Dia juga mengatakan ini bukan kasus yang langka. Banyak serangan phishing bernilai tinggi sering menyamar sebagai airdrop gratis, situs web proyek palsu, atau peringatan keamanan palsu untuk memikat pengguna agar menghubungkan dompet dan menandatangani transaksi.

Dompet kripto meningkatkan peringatan — tetapi tidak cukup

Dompet seperti MetaMask telah menambahkan peringatan situs web yang mencurigakan dan memindahkan data transaksi ke format yang lebih mudah dipahami. Beberapa dompet lain juga menyoroti operasi berisiko tinggi. Namun, penyerang terus mengubah taktik.

Harry Donnelly, pendiri Circuit, memperingatkan bahwa serangan berbasis izin “cukup umum” dan bahwa pengguna perlu memeriksa alamat pengiriman mereka, kontrak terkait, dan terutama batas lisensi — dalam banyak kasus aktor jahat meminta izin pengeluaran tak terbatas.

Bagaimana melindungi diri sendiri

Annison menekankan bahwa memeriksa ulang apa yang akan Anda tandatangani masih merupakan garis pertahanan yang paling penting:

• Pahami tindakan apa yang akan terjadi setelah penandatanganan
• Periksa apakah fungsi yang dipanggil benar untuk operasi yang Anda inginkan
• Jangan menandatangani hanya karena dapp memintanya atau karena janji menerima hadiah

Banyak dompet telah meningkatkan antarmuka agar lebih mudah dipahami pengguna, tetapi masih terserah pengguna sendiri untuk waspada.

Menurut Martin Derka, salah satu pendiri Zircuit Finance, kemungkinan mendapatkan uang kembali “hampir nol”.

Dia mengatakan bahwa dalam serangan phishing, korban tidak tahu siapa orang lain, tidak ada titik kontak, dan penyerang selalu hanya memiliki satu tujuan: mengambil uang dan menghilang. “Begitu uang itu habis, itu hilang,” katanya.

Thach Sanh