Hacker Mentransfer $10 Juta dari Serangan Phishing ke Tornado Cash

Sebuah serangan phishing yang canggih yang awalnya mengkompromikan $24 juta aset cryptocurrency telah mengalami perkembangan lebih lanjut, ketika para peneliti keamanan blockchain mengidentifikasi pergerakan $10 juta ke layanan pencampuran.

CertiK, sebuah perusahaan keamanan blockchain terkemuka, melaporkan pada 21 Maret bahwa salah satu dompet yang terlibat dalam insiden phishing besar pada September 2023 mentransfer 3.700 ETH (sekitar $10 juta) ke Tornado Cash, sebuah layanan pencampur cryptocurrency yang dikenal karena menyembunyikan jejak transaksi.

Dana tersebut berasal dari pelanggaran keamanan yang signifikan yang terjadi pada 6 September 2023, ketika seorang "whale" cryptocurrency ( yang merupakan individu yang memegang aset digital substansial) kehilangan $24 juta dalam ETH yang dipertaruhkan melalui protokol staking likuiditas Rocket Pool. Serangan tersebut terjadi dalam dua fase yang berbeda, dengan 9.579 stETH dihapus dalam pelanggaran awal, diikuti oleh pencurian 4.851 rETH dalam transaksi berikutnya.

Analisis Teknikal Vektor Serangan

Para peneliti keamanan dari proyek Scam Sniffer mengidentifikasi bahwa kerentanan mendasar yang dieksploitasi dalam serangan ini melibatkan korban yang mengotorisasi transaksi "Increase Allowance". Mekanisme teknis kritis ini di dalam standar token ERC-20 memungkinkan pihak ketiga untuk menghabiskan token yang dimiliki dompet lain—tetapi hanya dengan otorisasi pemilik yang eksplisit.

Penyerang memanfaatkan fungsionalitas ini untuk mendapatkan persetujuan untuk mentransfer token korban ke alamat yang berada di bawah kendali mereka. Setelah diberikan, otorisasi ini memungkinkan penyerang untuk secara sistematis menguras kepemilikan korban melalui beberapa transaksi.

Eksploitasi ini telah memicu diskusi signifikan di kalangan keamanan tentang risiko inheren dari persetujuan token, terutama saat berinteraksi dengan kontrak pintar yang tidak terverifikasi yang mungkin mengandung kode jahat yang dirancang untuk memanipulasi mekanisme otorisasi ini.

Melacak Aset yang Dicuri

PeckShield, sebuah firma keamanan blockchain lainnya yang memantau insiden tersebut, mencatat bagaimana pelaku mengonversi aset yang dicuri menjadi 13.785 ETH dan sekitar 1,64 juta stablecoin Dai. Pelaku kemudian memindahkan sebagian DAI ke bursa FixedFload, sambil mendistribusikan sisa dana yang dicuri ke beberapa dompet untuk mempersulit upaya pelacakan.

Transfer terbaru ke Tornado Cash merupakan upaya signifikan untuk semakin mengaburkan asal usul aset yang diperoleh secara ilegal, karena layanan pencampuran mencampurkan cryptocurrency dari berbagai sumber untuk memutuskan koneksi on-chain antara alamat pengirim dan penerima.

Implikasi Keamanan yang Lebih Luas

Insiden ini menyoroti ancaman yang terus-menerus dari serangan phishing di sektor cryptocurrency. Menurut laporan Februari dari proyek Scam Sniffer, hampir $47 juta hilang akibat penipuan terkait phishing hanya dalam bulan itu. Laporan tersebut lebih lanjut mengungkapkan bahwa 78% dari pencurian ini terjadi di jaringan Ethereum, dengan token ERC-20 menyumbang 86% dari semua dana yang dicuri.

Kekhawatiran keamanan seputar persetujuan token semakin diperkuat oleh insiden-insiden terbaru. Pada 20 Maret, sebuah kontrak usang yang sebelumnya digunakan oleh bursa Dolomite dieksploitasi untuk menguras $1,8 juta dari pengguna yang sebelumnya telah memberikan izin kepada alamat kontrak tersebut. Sebagai tanggapan, tim pengembang Dolomite mendesak pengguna untuk segera mencabut semua persetujuan yang diberikan kepada alamat kontrak yang terkompromi.

Contoh Respons Keamanan

Sementara beberapa pelanggaran keamanan mengakibatkan kerugian finansial yang signifikan, respons cepat dapat mengurangi kerusakan. Misalnya, ketika situs web Layerswap disusupi pada 20 Maret, koordinasi cepat tim dengan penyedia domain mereka membantu membatasi serangan. Meskipun respons cepat ini, sekitar 50 pengguna masih kehilangan aset yang bernilai $100.000. Layerswap kemudian mengumumkan penggantian penuh untuk pengguna yang terkena dampak dan kompensasi tambahan untuk insiden tersebut.

Meningkatnya kecanggihan serangan phishing menekankan pentingnya kesadaran keamanan di kalangan pengguna cryptocurrency. Perhatian khusus harus diberikan untuk meninjau dan membatasi persetujuan token, memverifikasi rincian transaksi sebelum menandatangani, dan menerapkan langkah-langkah keamanan tambahan seperti dompet perangkat keras untuk kepemilikan yang signifikan.

Sebagaimana yang ditunjukkan oleh insiden ini, bahkan pengguna cryptocurrency yang berpengalaman pun dapat menjadi korban rekayasa sosial dan eksploitasi teknis yang canggih. Kolaborasi yang berkelanjutan antara perusahaan keamanan, pengembang protokol, dan inisiatif pendidikan pengguna tetap penting untuk meningkatkan posisi keamanan keseluruhan ekosistem aset digital.