Peretasan terhadap bursa kripto WazirX yang mengakibatkan kerugian sebesar US$230 juta beberapa waktu lalu, kembali menyoroti peran penting Tornado Cash dalam dunia kejahatan siber.
Bagaimana tidak? Sebagian besar dana hasil peretasan tersebut telah dilacak mengalir ke dalam platform ini.
Lantas, bagaimana sebenarnya cara kerja Tornado Cash yang membuatnya menjadi alat favorit para hacker?
Peretasan WazirX Akibatkan Kerugian US$230 Juta
Insiden peretasan WazirX pertama kali dideteksi oleh perusahaan kemanan Web3, Cyvers Alerts pada 18 Juli 2024.
“Sistem kami telah mendeteksi beberapa transaksi mencurigakan yang melibatkan dompet Safe Multisig Anda di jaringan Ethereum,” tulisnya.
Namun sayangnya, pihak WazirX tidak memberikan respon lebih dari 30 menit setelah Cyvers mendeteksi transaksi mencurigakan tersebut.
Peretasan ini menjadi salah satu kasus peretasan kripto terbesar dalam sejarah. Para pelaku berhasil mencuri sejumlah besar aset kripto, termasuk Ethereum (ETH) dan Shiba Inu (SHIB).
Pelaku peretasan tersebut tidak secara langsung memindahkan aset mereka, melainkan mengirimnya secara bertahap.
Transaksi terakhir dengan nilai US$12 juta terjadi pada Kamis, 19 September 2024, ketika peretas memindahkan dana curian tersebut ke platform Tornado Cash menggunakan dengan address 0x46b9d6f8424eb8075bfaa28127446e5b38340a0a.
Tornado Cash dan Perannya dalam Peretasan Kripto
Tornado Cash sendiri adalah aplikasi yang dirancang untuk memberikan privasi bagi pengguna kripto dengan mengaburkan alamat dompet di berbagai blockchain.
Meskipun tujuan utamanya bukan untuk aktivitas ilegal, layanan ini sering digunakan oleh para peretas dan penjahat kripto untuk mencuci dana curian mereka dan menghilangkan jejak transaksi yang bisa mengungkap identitas mereka.
Sebelumnya, sudah ada rentetan kasus peretasan yang menggunakan Tornado Cash mixer untuk mencuci dana curian, salah satunya adalah insiden peretasan The Meter Passport yang terjadi pada tahun 2022 dengan total kerugian mencapai US$4,4 juta.
Crypto.com, salah satu platform pertukaran kripto yang berbasis di Singapura, juga sempat mengalami insiden pencurian, dan lagi-lagi peretas menggunakan mixer tersebut.
Beberapa kasus tersebut akhirnya menyoroti peran penting aplikasi ini dalam dunia kejahatan siber, terutama dalam kasus peretasan kripto.
Bagaimana Cara Kerja Tornado Cash?
Dilansir dari Coincenter, Tornado Cash bekerja melalui beberapa fase berurutan yang menggunakan mekanisme cryptography untuk menjaga privasi penggunanya.
Pertama-tama pengguna yang ingin menggunakan layanan Tornado Cash terlebih dahulu melakukan deposit ke dalam smart-contract Tornado Cash.
Sebelum itu, pengguna menghasilkan “deposit note” yaitu serangkaian angka yang disimpan secara privat. Note ini kemudian diubah ke dalam bentuk hash dan setelah itu dikirim ke smart contract bersama dengan dana yang akan disimpan.
Smart contract Tornado Cash mencatat hash note ini ke dalam daftar publik yang bisa diakses siapa saja. Setelah itu, pengguna menyimpan “deposit note” sebagai tanda bukti yang akan digunakan untuk menarik dana nanti.
Setelah berhasil melewati fase deposit, selanjutnya adalah fase mixing yang menggunakan mekanise Zero-knowledge proof.
Zero-knowledge proof dan mixing bekerja bersama untuk menjaga privasi pengguna di Tornado Cash.
Mixing phase mencampur asal dana banyak pengguna dalam satu pool, membuatnya sangat sulit untuk dapat dilacak.
Namun, tanpa menggunakan mekanisme tersebut, transaksi masih bisa ditelusuri di jaringan blockchain yang pada dasarnya memang bersifat transparan.
Zero-knowledge proof memungkinkan pengguna membuktikan hak menarik dana tanpa mengungkapkan hubungan antara deposit dan withdrawal.
Jadi, meski transaksi tercatat, tidak ada yang bisa mengidentifikasi siapa yang melakukan deposit atau penarikan.
Ketika pengguna ingin menarik token yang telah mereka setorkan, mereka menggunakan “deposit note” yang mereka simpan sebelumnya.
Proses penarikan melibatkan membagi “deposit note” menjadi dua bagian, yaitu “secret” dan “lock“.
Pengguna kemudian mengirimkan hash dari “lock” dan Zero-knowledge proof yang dihasilkan dari “secret” dan “lock” tersebut ke kontrak pintar Tornado Cash.
Smart contract memverifikasi bahwa proof ini valid, bahwa secret tersebut sesuai dengan salah satu deposit di pool, dan bahwa lock belum pernah digunakan sebelumnya.
Setelah verifikasi selesai, kontrak pintar secara otomatis mengirimkan token ke alamat baru yang ditentukan pengguna.
Analoginya seperti ini, bayangkan Tornado Cash sebagai sebuah mesin blender raksasa untuk uang digital. Ketika Anda memasukkan sejumlah koin digital (misalnya Ethereum), koin itu akan tercampur dengan banyak koin dari pengguna lain, seperti saat Anda memasukkan berbagai bahan (misalnya buah dan sayur) ke dalam blender. Setelah tercampur, koin yang keluar tidak lagi terlihat seperti koin yang Anda masukkan sebelumnya. Jadi, jika seseorang mencoba melacak asal-usul koin tersebut, akan sulit mengetahui dari mana sebenarnya koin itu berasal, karena semuanya sudah tercampur.
Dengan begitu, Tornado Cash berfungsi untuk memutus hubungan langsung antara pengirim dan penerima, memberikan privasi dalam transaksi kripto, mirip dengan bagaimana blender menyamarkan asal-usul bahan-bahan yang dimasukkan ke dalamnya.
Alternatif Tornado Cash
Tornado Cash memang menjadi pilihan utama karena fungsinya yang sederhana dan efektif dalam memberikan privasi bagi transaksi kripto. Namun, ada beberapa alternatif yang menawarkan layanan serupa, dengan masing-masing memiliki kelebihan tersendiri. Misalnya, ada Wasabi Wallet yang terkenal dalam ekosistem Bitcoin dengan pendekatan CoinJoin, yang bekerja dengan cara menggabungkan transaksi dari beberapa pengguna untuk menyulitkan upaya pelacakan. Selain itu, ada Samourai Wallet juga berfokus pada privasi Bitcoin dengan fitur-fitur seperti Whirlpool yang melakukan pencampuran koin serupa dengan Tornado Cash.
Alternatif lain seperti Monero menawarkan privasi bawaan dengan protokol yang memastikan setiap transaksi yang dilakukan bersifat anonim tanpa perlu menggunakan layanan pencampuran eksternal. Monero menggunakan teknologi kriptografi canggih seperti ring signatures dan stealth addresses untuk menyamarkan informasi pengirim, penerima, dan jumlah yang ditransaksikan.
Mixer kripto pertama yang dikenal di dunia adalah Bitcoin Fog, diluncurkan pada tahun 2011, jauh sebelum Tornado Cash (2019). Bitcoin Fog memungkinkan pengguna untuk mengaburkan sumber dan tujuan dari transaksi Bitcoin, menjadi salah satu layanan mixer pertama di kripto. Meski bukan yang pertama dalam hal layanan mixer, Tornado Cash menjadi pelopor solusi privasi yang terdesentralisasi secara penuh.
Apakah Alat Mixer Ini Memiliki Kelemahan?
Tornado Cash memang menawarkan tingkat privasi yang tinggi, namun layanan ini juga memiliki kelemahan tertentu.
Meskipun deposit dan penarikan dilakukan di jaringan Ethereum yang transparan dan dapat diperiksa melalui penjelajah blockchain, jejak transaksi tetap dapat dianalisis oleh pihak tertentu.
Sebagai contoh, jika seseorang menyetor 200 ETH ke Tornado Cash dan kemudian menarik jumlah yang sama dalam waktu singkat, hal ini dapat memberikan petunjuk bahwa kedua transaksi tersebut kemungkinan besar berasal dari entitas yang sama.
Selain itu, jika peretas atau pengguna mixer gagal menggunakan alat seperti VPN atau browser TOR dengan benar, identitas mereka bisa terungkap melalui alamat IP yang digunakan selama transaksi.
Ini memberikan peluang bagi penegak hukum untuk melacak aktivitas ilegal, terutama ketika kripto yang dicuci dikonversi kembali ke mata uang fiat dan ditransfer ke rekening bank tradisional.
Tornado Cash, Antara Inovasi dan Ancaman
Tornado Cash merupakan inovasi yang luar biasa dalam menjaga privasi transaksi kripto. Bagi mereka yang menghargai anonimitas, memberikan solusi yang memungkinkan transaksi dilakukan tanpa risiko dilacak.
Namun, layanan ini juga menjadi alat yang berpotensi berbahaya ketika digunakan oleh pihak-pihak yang berniat jahat, seperti peretas yang mencuci hasil curian dari peretasan kripto.
Sayangnya, inovasi ini sering disalahgunakan. Salah satu contohnya adalah Vitalik Buterin yang menggunakan Tornado Cash untuk kepentingan donasi.
Dalam sebuah tweet, ia mengaku telah menggunakan mixer untuk kepentingan donasi.
“Saya akan mengakui bahwa saya adalah salah satu orang yang telah menggunakan Tornado Cash untuk donasi,” ujarnya.
Dia menggunakannya untuk melindungi penerimanya dari pihak pemerintahan Rusia.
“Niat saya adalah melindungi penerima, bukan diri saya sendiri. Pemerintah Rusia sudah mengetahui posisi saya mengenai isu Ukraina,” tambahnya.
Kasus peretasan WazirX hanyalah salah satu dari banyak contoh di mana Tornado Cash dimanfaatkan oleh penjahat untuk menghilangkan jejak transaksi mereka, dan peristiwa tersebut semakin memperburuk citra layanan mixer ini.
Dalam dunia kripto yang saat ini terus berkembang, tantangan terbesar adalah menyeimbangkan kebutuhan akan privasi dengan tanggung jawab hukum. [dp]