Hacker Mengalirkan $10 Juta dari Serangan Phishing ke Tornado Cash

Seorang “whale” cryptocurrency menjadi korban serangan phishing yang canggih pada tahun 2023, tanpa sadar memberikan otorisasi untuk transaksi yang memberi para peretas akses ke kekayaan digital mereka. Dalam perkembangan terbaru, para penyerang telah memindahkan $10 juta Ether ke Tornado Cash, sebuah layanan pencampuran cryptocurrency yang terkenal yang dirancang untuk mengaburkan jejak transaksi.

Pada 21 Maret, perusahaan keamanan CertiK menemukan salah satu akun peretas yang mentransfer 3,700 ETH ke Tornado Cash. Akun ini terhubung dengan serangan pada 6 September 2023 yang menguras hingga $24 juta dari korban melalui layanan staking Rocket Pool. Pencurian terjadi dalam dua gelombang yang menghancurkan, pertama mencuri 9,579 stETH diikuti oleh 4,851 rETH.

Saya telah melihat pola ini sebelumnya - korban tanpa sadar menandatangani aset mereka. Menurut Scam Sniffer, paus tersebut mengizinkan transaksi “Increase Allowance”, pada dasarnya memberikan izin kepada hacker untuk membelanjakan token mereka. Fungsi persetujuan yang tampaknya tidak berbahaya ini telah menjadi senjata favorit dalam arsenal penipu.

Komunitas kripto telah ramai membicarakan risiko persetujuan token ini. Banyak pengguna tidak menyadari bahwa mereka berpotensi memberikan aktor jahat kunci ke brankas digital mereka ketika berinteraksi dengan kontrak pintar yang mencurigakan.

Analisis PeckShield mengungkapkan bahwa penyerang mengonversi aset yang dicuri menjadi 13.785 ETH dan 1,64 juta Dai, kemudian memindahkan beberapa DAI ke bursa FixedFload sambil mendistribusikan sisa dana ke beberapa dompet.

Bulan Februari saja menyaksikan hampir $47 juta hilang akibat penipuan phishing, dengan jaringan Ethereum menyumbang 78% dari pencurian ini. Token ERC-20 mewakili 86% dari dana yang dicuri - sebuah statistik yang menyedihkan yang seharusnya membuat kita semua mempertanyakan praktik keamanan kita.

Eksploitasi kontrak lama terus mengganggu pengguna. Baru-baru ini, kontrak bursa Dolomite yang sudah usang digunakan untuk menguras $1,8 juta dari pengguna yang sebelumnya telah memberikan izin. Para pengembang dengan panik mendesak pengguna untuk mencabut semua persetujuan untuk alamat yang telah dikompromikan.

Tidak semua serangan berhasil sepenuhnya. Ketika situs web Layerswap disusupi, respons cepat mereka membatasi kerugian menjadi “hanya” $100,000 yang mempengaruhi sekitar 50 pengguna. Mereka telah berjanji untuk memberikan pengembalian dana dan kompensasi, tetapi kerusakan pada kepercayaan pengguna tetap ada.

Insiden-insiden ini menyoroti lanskap berbahaya yang kita hadapi setiap hari di dunia crypto. Eksploitasi persetujuan token dan kontrak pintar membutuhkan kewaspadaan dan pendidikan yang lebih besar. Tanpa langkah-langkah keamanan yang lebih baik dan kesadaran pengguna, kita akan terus melihat jutaan dana diambil dari korban yang tidak curiga melalui serangan rekayasa sosial yang canggih ini.