Hacker Funnels $10 Juta Phishing Loot ke Tornado Cash

Seorang “whale” cryptocurrency menjadi korban serangan phishing yang canggih tahun lalu, yang mengakibatkan transfer tidak sah sebesar $10 juta Ether ke Tornado Cash, sebuah layanan pencampuran cryptocurrency yang terkenal.

Pada 21 Maret, CertiK mengidentifikasi sebuah akun yang terhubung dengan peretasan September 2023 yang menyedot $24 juta dari korban. Serangan ini terjadi dalam dua fase, menghilangkan 9,579 stETH dan 4,851 rETH dari layanan staking Rocket Pool mereka.

Saya selalu terkejut dengan bagaimana serangan ini berhasil melalui mekanisme yang begitu sederhana. Dalam kasus ini, korban mengotorisasi transaksi “Increase Allowance” - pada dasarnya memberikan kepada peretas izin untuk menghabiskan token mereka. Ini seperti menyerahkan dompet Anda kepada seseorang dan terkejut ketika mereka mengambil uang Anda.

Komunitas crypto telah banyak memperdebatkan persetujuan token, dan dengan alasan yang baik. Fungsi kontrak pintar ini adalah pedang bermata dua - nyaman untuk penggunaan yang sah tetapi menghancurkan ketika dieksploitasi. Penyerang dengan cerdik mengubah aset yang dicuri menjadi 13.785 ETH dan 1,64 juta Dai, mendistribusikannya ke berbagai dompet untuk mengaburkan jejak mereka.

Statistik bulan Februari bahkan lebih mengkhawatirkan - hampir $47 juta hilang karena penipuan phishing dalam satu bulan! Pengguna Ethereum tampaknya sangat rentan, menyumbang 78% dari pencurian ini. Saya tidak bisa tidak bertanya-tanya apakah kompleksitas ekosistem Ethereum membuat pengguna lebih rentan terhadap serangan ini.

Penarikan $1,8 juta yang baru-baru ini terjadi dari pengguna bursa Dolomite melalui kontrak lama semakin menyoroti bahaya dari persetujuan yang terlupakan. Banyak pengguna tidak menyadari bahwa izin ini tetap ada selamanya kecuali dicabut secara eksplisit.

Tidak semua serangan berhasil sepenuhnya - respons cepat Layerswap membatasi pelanggaran terbaru mereka menjadi “hanya” $100,000 dari sekitar 50 pengguna. Meskipun mereka telah menjanjikan pengembalian dana dan kompensasi, kerusakan psikologis pada kepercayaan pengguna tetap ada.

Insiden-insiden ini mengungkapkan kenyataan yang mengkhawatirkan: meskipun sudah ada peringatan selama bertahun-tahun, phishing tetap sangat efektif dalam crypto. Kompleksitas teknis blockchain sangat kontras dengan kerentanan manusia terhadap rekayasa sosial. Sampai kita menjembatani kesenjangan ini melalui pendidikan yang lebih baik dan alat keamanan, jutaan akan terus mengalir ke tangan penyerang yang memahami bahwa mengeksploitasi kepercayaan manusia seringkali lebih mudah daripada meretas kriptografi.