Ketika Smart Contracts Menjadi Senjata: $10 Juta Disedot melalui Pelanggaran Phishing

Dunia kripto menghadapi panggilan bangun lainnya pada bulan Maret ketika auditor keamanan CertiK melacak $10 juta nilai ETH yang berpindah ke Tornado Cash—layanan pencampuran cryptocurrency yang terkenal karena pencucian aset curian. Ini bukan sekadar peretasan dompet sederhana. Penyerang berhasil memanfaatkan fungsi kontrak pintar yang tampaknya tidak berbahaya untuk menguras dana dari investor yang tidak curiga.

Bagaimana Persetujuan Token Menjadi Jerat

Di sinilah bahaya mulai muncul: korban tanpa sadar mengotorisasi transaksi “Increase Allowance”. Fungsi ini, yang dibangun ke dalam standar token ERC-20, dirancang untuk kemudahan—memungkinkan kontrak pintar menghabiskan token Anda dengan izin Anda. Tapi dalam kasus ini, penyerang memanfaatkannya secara brilian. Alih-alih mencuri dana secara langsung, mereka mendapatkan kemampuan untuk menyetujui dan mentransfer aset sesuka hati. Ini seperti memberikan seseorang cek kosong dan berharap mereka tidak mencairkannya.

Scam Sniffer, platform deteksi penipuan blockchain, mengidentifikasi mekanisme ini secara tepat. Penyerang mengubah aset curian menjadi 13.785 ETH ( senilai sekitar $40,6 juta dengan harga saat ini sekitar $2.950 per token) dan 1,64 juta DAI, lalu secara hati-hati mengarahkan sebagian melalui bursa untuk menutupi jejak mereka.

Angka Mengisahkan Cerita yang Menyedihkan

Insiden ini terkait dengan kampanye phishing besar pada September 2023 yang menargetkan paus kripto. Korban kehilangan $24 juta dalam ETH yang dipasang melalui layanan staking likuiditas Rocket Pool selama serangan awal tersebut. Eksploitasi terjadi dalam dua gelombang: pertama menghapus 9.579 stETH, kemudian menghapus 4.851 rETH dari akun yang sama.

Namun insiden September hanyalah salah satu dari banyak. Data terbaru menunjukkan bahwa hanya bulan Februari saja hampir $47 juta menguap melalui penipuan terkait phishing—dengan 78% dari pencurian ini terjadi di Ethereum dan token ERC-20 menyumbang 86% dari dana yang dicuri. Pola ini jelas: persetujuan token telah menjadi pintu belakang favorit para penyerang.

Ketika Kontrak Lama Menjadi Vektor Serangan

Maret membawa masalah lebih banyak lagi. Sebuah kontrak pintar warisan yang sebelumnya digunakan oleh pertukaran Dolomite telah diretas, menguras $1,8 juta dari pengguna yang sebelumnya memberikan izin kepadanya. Tim Dolomite bergegas mengeluarkan advis pembatalan darurat, mendesak pengguna untuk menarik persetujuan dari alamat kontrak yang rentan tersebut.

Insiden Layerswap mengungkap lapisan kerentanan lainnya. Ketika situs web mereka diretas melalui phishing, sekitar 50 pengguna kehilangan aset senilai $100.000 sebelum tim dan penyedia domain berhasil menahan pelanggaran tersebut. Meskipun Layerswap berkomitmen untuk pengembalian penuh plus kompensasi, kerusakan sudah terjadi.

Gambaran Lebih Besar: Edukasi Bertemu Teknologi

Ini bukan insiden yang terisolasi—mereka adalah gejala dari masalah sistemik. Persetujuan token mendemokratisasi akses ke fungsi blockchain tetapi juga menciptakan titik buta yang berbahaya. Pengguna sering kali menyetujui kontrak tanpa memahami izin apa yang sebenarnya mereka berikan. Kesenjangan kecanggihan teknis antara pengguna rata-rata dan penyerang terus melebar.

Perusahaan keamanan seperti CertiK dan PeckShield berperan dalam pertahanan, menganalisis transaksi blockchain dan menandai pergerakan yang mencurigakan. Tapi deteksi setelah kejadian tidak mencegah kerugian. Yang dibutuhkan adalah perubahan dalam cara pengguna berinteraksi dengan kontrak pintar: memverifikasi setiap persetujuan, memahami apa yang dimaksudkan setiap izin, dan menjaga kewaspadaan dalam setiap interaksi dompet.

Komunitas kripto harus berinvestasi dalam alat yang lebih baik, UI/UX yang lebih jelas untuk proses persetujuan, dan kampanye edukasi yang konsisten. Sampai jarak antara kenyataan teknis dan pemahaman pengguna menyempit, serangan phishing yang memanfaatkan persetujuan token akan tetap menjadi salah satu ancaman paling gigih di sektor ini.