Maraknya kasus peretasan tampaknya sering membawa nama Tornado Cash yang digunakan untuk mempermudah cara para penjahat tersebut melarikan aset kripto curian dan menariknya.
Sebagian besar berita terkait aksi peretasan selalu menyebut nama Tornado Cash yang membuat aset curian menjadi sulit dilacak karena privasi yang ketat.
Pada Rabu (10/8/2022) Badan Penyelidik Keuangan Belanda (FIOD) menangkap seorang pria berusia 29 tahun di Amsterdam. Dia dicurigai terlibat dalam menyembunyikan aliran dana kriminal dan memfasilitasi pencucian uang melalui aplikasi Tornado Cash. Sehari sebelumnya, pihak otoritas AS sudah memblokir situs resmi aplikasi itu.
Tentu saja, ini adalah suatu masalah tersendiri di saat orang-orang menginginkan privasi lebih, tetapi justru dimanfaatkan oleh para penjahat maya untuk menyamarkan transaksi dari kripto curian mereka. Tetapi, sebenarnya apa sih Tornado Cash itu?
Apa Itu Tornado Cash?
Berdasarkan laporan dari CoinMarketCap, Tornado Cash adalah solusi privasi terdesentralisasi serta non-kustodian yang dibangun di atas jaringan Ethereum.
Seperti yang kita tahu, teknologi blockchain saat ini hanya membuat pelaku transaksi kripto menjadi pseudonim, alias hanya identitasnya saja yang dirahasiakan, sementara jejak transaksinya tidak sama sekali.
Kebocoran data pengguna pada bursa yang selalu mengutamakan KYC telah menjadi celah bagi peretas untuk menghubungkan data pengguna tersebut dengan transaksi yang ada, sehingga peretasan dapat berhasil.
Sementara Tornado Cash dikembangkan berdasarkan penelitian open source oleh tim koin privasi ZCash, protokol ini dapat memungkinkan pengguna untuk mengirim deposit koin Ether (ETH) dan token ERC-20 melalui layanan kontrak pintarnya.
Ini akan menyamarkan arus transaksi, sehingga peretas sendiri akan kesulitan membaca arus pergerakan suatu aset yang pada akhirnya, peretasan pun menjadi lebih sulit.
Tetapi, apa yang benar-benar menjadi momok saat para peretas menggunakan protokol ini adalah, adanya privasi ketat yang juga dapat memungkinkan mereka menarik aset ke alamat baru tanpa terdeteksi.
Jejak transaksi tidak akan terbaca lagi di blockchain, dari mana asal aset yang ditarik tersebut, sehingga keterlacakan menjadi benar-benar hilang.
Sementara itu, protokol ini juga memiliki token ERC-20 aslinya, TORN, yang memungkinkan pemiliknya untuk membuat proposal dan memilih perubahan dalam protokol Tornado Cash.
Cara Kerja Protokol
Berdasarkan ulasan dari channel Youtube Kelas Crypto Cepod, Tornado Cash adalah aplikasi yang tepat untuk menghilangkan jejak rantai pada suatu transaksi.
Meski banyak alasan para pengguna untuk menyamarkan itu, ini tetap menjadi sebuah alat yang luar biasa membantu bagi para peretas yang ingin mencairkan aset curian dengan mudah.
Lalu bagaimana cara menggunakan aplikasinya? Dengan aplikasinya, Anda perlu menghubungkannya dengan dompet kripto seperti Metamask dan langsung melakukan deposit dari aplikasi.
Nanti, Anda akan mendapatkan kunci acak untuk melakukan penarikan dari aplikasi, yang bisa langsung diarahkan ke alamat dompet Anda yang lain (berbeda dari dompet untuk deposit).
Sesederhana itu, maka aset kripto yang Anda tarik tidak akan terlacak lagi dari mana asalnya dan benar-benar tanpa jejak transaksi sama sekali di jaringan blockchain.
Singkatnya, Tornado Cash secara harfiah bertindak sebagai proxy yang membuat transaksi tetap anonim dengan mekanisme zk-SNARK, yang mendukung privasi mendalam dari suatu aset.
Ini juga biasa disebut dengan mixing karena mencampurkan banyak aset kripto dari berbagai dompet yang membuatnya tersamarkan dan tidak terlacak.
Peran Tornado Cash dalam Aksi Peretasan Kripto
Berita terhangat saat ini adalah terjadinya aksi peretasan terhadap bursa kripto kenamaan, Crypto.com, yang telah menghilangkan dana sekitar US$15 juta, atau setara 215 milyar.
Salah satu bursa tertua ini diketahui telah mengalami ekspolitasi kemanan yang membuat peretas mampu mengakses beberapa akun pengguna dan melakukan penarikan tak berizin.
Layanan Tornado Cash Diblokir Pemerintah AS, Vitalik Buterin: Saya Pakai Itu untuk Donasi Ukraina
Seperti yang diduga, setengah dari koin Ether (ETH) yang dicuri telah dilarikan ke Tornado Cash guna menyamarkan transaksi dan mengambilnya dengan dompet kripto lain.
“Crypto.com mengalami kerugian sekitar US$15 juta, akibat pencurian 4.600 ETH dan setengahnya saat ini sedang dicuci menggunakan layanan Tornado Cash,” ungkap Peckshield.
Tentu saja, ini hanyalah salah satu dari banyaknya aksi peretasan yang memanfaatkan aplikasi mixing untuk mencairkan hasil curian dengan aman, setidaknya sampai detik ini.
Tentu saja, keberadaan aplikasi seperti Tornado Cash ini menjadi dilema tersendiri.
Mengapa? Itu karena di satu sisi, ini memberi privasi yang lebih baik bagi orang-orang yang benar-benar tidak ingin dilacak. Sementara, di sisi lain, ini juga menjadi alat bagi para peretas untuk mendapatkan aset kripto curian mereka tanpa dapat dilacak.
Kelemahan Tornado Cash
Perusahaan riset Chainalysis sebelumnya menyebutkan, sejumlah aksi peretasan kripto sepanjang 2021, praktis menggunakan layanan Tornado Cash ini.
Peretasan Kripto di Crypto.com, Kerugian Mencapai US$33 Juta
Hanya saja, penggunaan Tornado Cash ini punya kelemahan khusus. Pertama, jika saldo kripto yang dicuci sangat besar dalam satu kali transaksi, justru relatif mudah diendus.
Kedua, pengguna layanan ini, jikalau tidak benar menggunakan layanan VPN dan browser TOR dengan benar, memungkinkan IP address aslinya-nya terungkap. Inilah yang memudahkan aparat keamanan untuk meringkus pelaku peretasan, jikalau kelak kripto itu hendak ditukar menjadi fiat money dan ditransfer ke bank. [st]