$10 Serangan Phishing Miliaran: Hacker Mentransfer ETH yang Dicuri ke Tornado Cash

Dalam insiden keamanan siber yang signifikan, seorang hacker telah memindahkan $10 juta nilai Ether dari serangan phishing September 2023 ke layanan pencampuran cryptocurrency Tornado Cash, menyoroti tantangan keamanan yang terus berlanjut di ruang aset digital.

Detail Serangan dan Pergerakan Dana

Pada 21 Maret, firma keamanan blockchain CertiK mengidentifikasi bahwa sebuah akun yang terkait dengan pencurian cryptocurrency besar telah mentransfer 3.700 ETH ke Tornado Cash. Dana ini adalah bagian dari pencurian $24 juta yang terjadi melalui serangan phishing canggih pada 6 September 2023.

Korban, yang digambarkan sebagai "whale" cryptocurrency ( seorang individu yang memegang aset digital substansial ), kehilangan dananya dalam serangan dua fase. Awalnya, 9.579 stETH diambil, diikuti oleh 4.851 rETH—keduanya token yang mewakili Ethereum yang dipertaruhkan melalui layanan staking likuiditas Rocket Pool.

Polanya aliran dana setelah peretasan:

• Konversi aset yang dicuri menjadi 13,785 ETH
• Konversi tambahan aset menjadi 1,64 juta Dai
• Transfer beberapa DAI ke bursa FixedFload
• Distribusi sisa dana yang dicuri ke beberapa dompet

Analisis Teknikal dari Pelanggaran

Serangan berhasil melalui eksploitasi mekanisme persetujuan token. Menurut proyek deteksi penipuan Scam Sniffer, korban mengizinkan transaksi "Tingkatkan Izin", yang memungkinkan penyerang untuk menyetujui token untuk penggunaan mereka sendiri.

Eksploitasi ini memanfaatkan fungsionalitas standar ERC-20 yang memungkinkan pihak ketiga untuk menghabiskan token yang dimiliki oleh orang lain—tetapi hanya dengan otorisasi yang tepat. Sayangnya, dalam skenario phishing, korban tanpa sadar memberikan otorisasi ini melalui antarmuka atau transaksi yang menipu.

Insiden tersebut telah memicu diskusi yang signifikan di kalangan keamanan cryptocurrency mengenai potensi risiko yang terkait dengan persetujuan kontrak pintar, yang bisa secara jahat digunakan untuk tujuan penipuan.

Lanskap Keamanan yang Lebih Luas

Serangan phishing tetap menjadi ancaman yang terus-menerus bagi pemegang cryptocurrency. Laporan terbaru dari Scam Sniffer mengungkapkan bahwa hampir $47 juta hilang hanya di bulan Februari akibat skema yang terkait dengan phishing, dengan 78% terjadi di jaringan Ethereum. Token ERC-20 mewakili 86% dari semua dana yang dicuri.

Sektor cryptocurrency baru-baru ini telah mengalami beberapa insiden keamanan signifikan lainnya:

• Pada 20 Maret, sebuah kontrak yang sudah usang yang sebelumnya digunakan oleh bursa Dolomite dieksploitasi, mengakibatkan $1,8 juta diambil dari pengguna yang telah memberikan persetujuan terhadap kontrak tersebut.

• Pada hari yang sama, tim Layerswap berhasil mencegah kerusakan lebih lanjut setelah situs web mereka diretas, meskipun peretas masih berhasil mencuri sekitar $100.000 dari sekitar 50 pengguna. Layerswap telah berjanji untuk mengembalikan uang kepada pengguna yang terkena dampak dan memberikan kompensasi tambahan.

Implikasi Keamanan bagi Pemegang Aset Digital

Insiden-insiden ini menyoroti pentingnya kewaspadaan saat memberikan otorisasi untuk interaksi kontrak pintar dan persetujuan token. Eksploitasi fungsi persetujuan token menunjukkan bagaimana penyerang dapat memanfaatkan fitur blockchain yang sah untuk tujuan jahat.

Platform perdagangan profesional dan ahli keamanan merekomendasikan audit keamanan secara reguler terhadap izin dompet dan persetujuan token. Pengguna harus secara berkala meninjau dan mencabut izin kontrak yang tidak perlu untuk meminimalkan permukaan serangan.

Seiring dengan meningkatnya upaya phishing yang canggih yang terus menargetkan pemegang cryptocurrency, kolaborasi antara perusahaan keamanan, platform perdagangan, dan pengguna menjadi semakin penting untuk mengembangkan mekanisme perlindungan yang lebih baik dan protokol keamanan untuk ekosistem aset digital.