Paus Cryptocurrency Kehilangan $10 Juta dalam Skema Phishing Canggih, Aset yang Dicuri Dipindahkan Melalui Layanan Mixing

Pelanggaran keamanan yang signifikan kembali menempatkan komunitas cryptocurrency dalam keadaan waspada tinggi. Pada September 2023, seorang investor menjadi korban serangan phishing terkoordinasi yang menguras $24 juta aset digital yang dipertaruhkan. Yang membuat insiden ini sangat penting bukan hanya kerugian besar itu sendiri, tetapi juga kecanggihan teknis yang terlibat dan pergerakan dana curian melalui saluran obfuscation.

Serangan Terungkap: Perampokan Dua Tahap

Serangan ini berlangsung dalam dua fase yang dihitung dengan cermat yang menargetkan kepemilikan korban di protokol staking utama. Selama kompromi awal, 9.579 stETH dari layanan liquidity staking Rocket Pool disedot. Gelombang kedua menghapus tambahan 4.851 rETH, sehingga total kerugian mencapai $24 juta. Pada 21 Maret, perusahaan forensik blockchain CertiK melacak penyerang saat mereka mentransfer 3.700 ETH—yang bernilai sekitar $10 juta berdasarkan kondisi pasar terbaru—ke layanan pencampuran Tornado Cash, secara efektif mengaburkan asal-usul dana dan pergerakannya selanjutnya.

Bagaimana Persetujuan Token Menjadi Titik Lemah

Eksploitasi ini memanfaatkan vektor yang tampaknya sederhana namun sangat efektif: penyalahgunaan mekanisme persetujuan token. Platform deteksi penipuan Scam Sniffer mengungkapkan bahwa korban tanpa sadar telah mengotorisasi transaksi “Increase Allowance”. Tindakan yang tampaknya tidak berbahaya ini memberi penyerang hak istimewa berbahaya—kemampuan untuk mentransfer token ERC-20 sesuka hati menggunakan otomatisasi kontrak pintar.

Kerentanan ini berasal dari cara standar token Ethereum berfungsi. Ketika pengguna berinteraksi dengan aplikasi terdesentralisasi, mereka sering memberikan izin kepada kontrak untuk menghabiskan aset mereka di luar satu transaksi. Meskipun nyaman, desain ini telah menjadi permukaan serangan utama bagi penjahat yang canggih.

Rantai Konversi

Analis keamanan di PeckShield mendokumentasikan strategi konversi penyerang. Aset digital yang dicuri dikonversi secara sistematis menjadi 13.785 ETH (yang diperdagangkan sekitar $2,95K per unit pada tarif saat ini) dan 1,64 juta Dai stablecoin (yang mempertahankan patokan $1,00). Sebagian Dai yang dikonversi dialihkan melalui pertukaran FixedFload, sementara sisanya menghilang ke alamat dompet yang tidak dapat dilacak.

Masalah Sistemik yang Semakin Mendapatkan Momentum

Insiden $10 juta ini hanyalah satu node dalam krisis keamanan yang lebih besar. Data terbaru menggambarkan gambaran yang mengkhawatirkan: penipuan terkait phishing secara kolektif menguras hampir $47 juta selama Februari saja. Risiko konsentrasi sangat mengkhawatirkan—78% dari pencurian ini menargetkan jaringan Ethereum secara khusus, dengan token ERC-20 menyumbang 86% dari semua dana yang dicuri.

Kerentanan ini melampaui insiden terisolasi. Tepat sebelum kasus ini mendapatkan perhatian, kontrak pintar usang dari pertukaran Dolomite menjadi senjata untuk mencuri $1,8 juta dari pengguna yang sebelumnya telah memberikan izin persetujuan. Tanggapan darurat Dolomite termasuk peringatan mendesak kepada pengguna untuk mencabut izin dari alamat kontrak yang rentan.

Ketika Deteksi Berhasil: Kasus Layerswap

Tidak semua pelanggaran keamanan berujung pada kehilangan total aset. Insiden Layerswap pada 20 Maret menunjukkan pentingnya respons insiden yang cepat. Meskipun penyerang berhasil mengompromikan situs web platform dan mengekstrak sekitar $100.000 dari sekitar 50 akun pengguna, koordinasi cepat tim dengan penyedia domain mencegah bencana yang jauh lebih besar. Yang penting, Layerswap berkomitmen untuk mengembalikan semua pengguna yang terdampak plus kompensasi tambahan atas gangguan tersebut.

Apa Artinya Ini untuk Komunitas Lebih Luas

Insiden berantai ini menegaskan kerentanan kritis dalam cara pengguna berinteraksi dengan protokol blockchain. Persetujuan token, meskipun memungkinkan fungsi keuangan terdesentralisasi yang asli, telah menjadi kuda Troya untuk serangan rekayasa sosial yang canggih. Komponen phishing tetap tampak rendah teknologi—menipu pengguna agar mengunjungi situs palsu dan mengonfirmasi transaksi berbahaya—namun dampaknya sangat merusak.

Jalan ke depan membutuhkan pertahanan berlapis: peningkatan edukasi pengguna tentang risiko persetujuan kontrak tanpa batas, pengembangan standar persetujuan token yang lebih ketat, alat deteksi phishing yang lebih baik, dan peningkatan protokol audit keamanan untuk platform yang sudah mapan. Seiring serangan menjadi lebih terkoordinasi dan secara teknis lebih halus, beban tanggung jawab sama besar pada perusahaan keamanan, pengembang protokol, dan pengguna individu untuk menjaga kewaspadaan secara konstan dan memverifikasi setiap transaksi dengan teliti.