Dalam insiden keamanan siber yang signifikan tahun lalu, seorang "whale" cryptocurrency menjadi korban serangan phishing yang canggih, yang mengakibatkan akses tidak sah ke aset digital mereka. Penyerang memanipulasi korban untuk menyetujui transaksi yang memberikan akses ke hold crypto mereka.

Perkembangan terbaru telah menjelaskan akibat dari operasi phishing September 2023 ini. Akun bersama yang disusupi sekarang telah memindahkan Ether senilai $ 10 juta ke Tornado Cash, layanan pencampuran cryptocurrency yang terkenal.

Pada 21 Maret, para ahli keamanan blockchain di CertiK mengidentifikasi sebuah akun yang terhubung dengan peretasan senilai $24 juta. Akun ini mentransfer 3.700 ETH ke Tornado Cash. Dana ini awalnya dicuri dari paus cryptocurrency selama insiden phishing yang terjadi pada 6 September 2023.

Serangan asli menargetkan investor yang menggunakan layanan staking likuiditas Rocket Pool, yang mengakibatkan kerugian sebesar $24 juta dalam ETH yang dipertaruhkan. Pencurian dunia maya terungkap dalam dua tahap: awalnya, 9.579 stETH diambil, diikuti dengan penghapusan 4.851 rETH dari kepemilikan korban.

Menurut proyek Scam Sniffer, yang mengkhususkan diri dalam deteksi penipuan, korban secara tidak sengaja mengizinkan transaksi "Tingkatkan Kuota". Tindakan ini memungkinkan penyerang untuk menyetujui token untuk digunakan mereka sendiri. Fungsionalitas semacam itu, yang diimplementasikan melalui kontrak pintar, memungkinkan pihak ketiga untuk membelanjakan token ERC-20 yang dimiliki oleh orang lain, asalkan mereka telah memberikan persetujuan.

Komunitas kripto telah terlibat dalam diskusi panas mengenai persetujuan token, dengan banyak yang memperingatkan tentang potensi risiko yang terkait dengan kontrak pintar jahat yang diterapkan untuk tujuan penipuan.

PeckShield, sebuah perusahaan keamanan blockchain lainnya, melaporkan bahwa penyerang mengubah aset yang dicuri menjadi 13.785 ETH dan 1,64 juta Dai. Sebagian dari token DAI ini dipindahkan ke bursa FixedFload, sementara sisa dana yang dicuri didistribusikan ke berbagai dompet.

Serangan phishing terus menjadi ancaman signifikan bagi sektor cryptocurrency. Laporan terbaru dari proyek Scam Sniffer mengungkapkan bahwa hampir $47 juta hilang pada bulan Februari hanya karena penipuan terkait phishing.

Laporan tersebut menyoroti bahwa 78% dari pencurian ini terjadi di jaringan Ethereum, dengan token ERC-20 menyumbang 86% dari semua dana yang dicuri.

Kerugian baru-baru ini yang dikaitkan dengan persetujuan token telah menimbulkan kekhawatiran di antara pengguna cryptocurrency. Pada tanggal 20 Maret, kontrak usang yang sebelumnya digunakan oleh bursa Dolomite dieksploitasi, mengakibatkan kerugian $1,8 juta bagi pengguna.

Eksploitasi ini mempengaruhi pengguna yang sebelumnya telah memberikan persetujuan kepada kontrak. Sebagai tanggapan, tim pengembang Dolomite mendesak pengguna untuk mencabut semua izin yang diberikan kepada alamat kontrak lama.

Sementara beberapa upaya penipuan cryptocurrency mengakibatkan kerugian yang substansial, ada contoh di mana deteksi dan respons cepat dapat mengurangi kerusakan. Misalnya, pada 20 Maret, tim Layerswap berhasil mencegah kerugian lebih lanjut setelah situs web mereka disusupi, berkat tindakan cepat dari penyedia domain mereka.

Meskipun upaya mereka, para peretas berhasil mencuri aset senilai $100.000 dari sekitar 50 pengguna. Layerswap telah berkomitmen untuk mengembalikan dana yang hilang kepada pengguna yang terdampak dan menawarkan kompensasi tambahan untuk ketidaknyamanan yang ditimbulkan.

Insiden-insiden ini menekankan ancaman berkelanjutan dari serangan phishing dan kebutuhan akan kewaspadaan yang konstan di ruang cryptocurrency. Penyalahgunaan fungsi persetujuan token dan kontrak pintar menyoroti pentingnya mendidik pengguna dan bertindak hati-hati untuk mencegah kerugian yang tidak perlu.

Karena serangan dunia maya menjadi semakin canggih, sangat penting bagi pengguna mata uang kripto untuk tetap waspada dan memverifikasi semua transaksi dan persetujuan kontrak secara menyeluruh. Kolaborasi antara komunitas dan perusahaan keamanan sangat penting untuk mengembangkan alat dan prosedur yang ditingkatkan yang melindungi dari serangan phishing dan aktivitas penipuan lainnya, yang pada akhirnya menciptakan lingkungan yang lebih aman untuk semua pengguna cryptocurrency.