Peretasan kripto di Crypto.com, analis kripto OXT Research, memperkirakan kerugiannya justru lebih dari US$15 juta. OXT Research memastikan, bahwa tak hanya kripto ETH digondol, ada juga sejumlah Bitcoin (BTC), sehingga nilai totalnya mencapai US$33 juta atau setara dengan Rp472,3 milyar dengan kurs saat ini. Sedangkan pihak Crypto mengakui ada 483 akun pengguna yang diretas. Penarikan tidak sah mencapai 4.836,26 ETH, 443,93 BTC dan sekitar kripto lainnya setara US$66.200.
Klaim US$33 juta itu disampaikan OXT Research berdasarkan pelacakan di blockchain (on-chain analysis) dari wallet kripto di Crypto.com hingga ke beberapa address kripto yang digunakan oleh peretas.
“Selain 4.600 ETH, ada pula 444 BTC dalam peretasan Crypto.com itu. Kami memindai arus dana ETH itu keluar dari custodian wallet Tornado Cash dan layanan BTC Tumbler,” sebut OXT Research (ErgoBTC) di Twitter, Rabu (19/1/2022).
Adding another 444 BTC to the previously reported 4.6k ETH from yesterday's @cryptocom hack.
Still no acknowledgement of loss, despite large outflows from the custodial wallet into ETH's Tornado Cash and a well known BTC tumbler (as detailed below). pic.twitter.com/GalJKM6bi9
— ∴Ergo∴ (@ErgoBTC) January 18, 2022
Peretasan Kripto di Crypto.com
Pada hari Senin, (17/1/2022) muncul laporan bahwa Crypto.com telah menghentikan penarikan dana setelah sejumlah kecil pengguna mengakui telah mengalami transaksi mencurigakan di akun mereka.
The @cryptocom loss is about $15M with at least 4.6K ETHs and half of them are currently being washed via @TornadoCash https://t.co/PUl6IrB3cp https://t.co/6SVKvk8PLf pic.twitter.com/XN9nmT857j
— PeckShield Inc. (@peckshield) January 18, 2022
Pihak Crypto.com kemudian sempat menangguhkan transaksi dan memastikan semua dana pengguna aman. Namun, berdasarkan analisis PeackShield, ada arus dana keluar secara tidak sah sekitar 4.600 ETH (US$15 juta) dan sedang dicuci (disamarkan) menggunakan Tornado Cash.
“Crypto.com mengalami kerugian sekitar US$15 juta, akibat pencurian 4.600 ETH dan separuhnya saat ini sedang dicuci menggunakan layanan Tornado Cash,” sebut Peckshield.
Hingga Selasa, (18/1/2022) OXT Research (ErgoBTC) punya data terbaru. Bahwa tak hanya 4600 ETH yang melayang, melainkan ada 444 BTC setara US$18,5 juta kala itu.
OXT Research mengatakan, beberapa ratus penarikan dilakukan, yang kemudian digabungkan menjadi empat output transaksi, masing-masing senilai 67,75 BTC (US$2,81 juta). Empat batch berjumlah 271 BTC (US$11,25 juta), yang semuanya dicuci lewat layanan Bitcoin Tumbler.
Crypto.com Mengakui Adanya Peretasan dan Mengganti Rugi
Setelah serangan fatal itu, pada Rabu (19/1/2022), pihak Crypto.com mengakui adanya peretasan itu. Mereka mamastikan akan memperkuat infrastruktur keamanannya lewat sistem otentikasi multi-faktor (MFA) untuk menggantikan protokol otentikasi dua faktor (2FA) yang ada.
CEO Crypto.com Kris Marszalek telah mengkonfirmasi bahwa memang mengalami pelanggaran. Kepada Bloomberg pada Rabu lalu, Marszalek menyatakan sekitar 400 akun terkena peretasan.
“Kami dengan sangat cepat menghentikannya, kami menghentikan penarikan, kami memperbaikinya dan kami kembali normal sekitar 13/14 jam dan pada hari yang sama. Semua kerugian pengguna akan sepenuhnya diganti,” ujar Marszalek.
Berdasarkan pernyataan resmi Crypto.com ini, mereka mengakui, bahwa ada 483 akun pengguna yang diretas. Penarikan tidak sah mencapai 4.836,26 ETH, 443,93 BTC dan sekitar US$66.200 dalam sejumlah kripto lainnya.
ETH sebanyak itu, per Kamis (20/1/2022), pukul 23:88 WIB setara dengan Rp224,8 milyar. Sedangkan BTC setara Rp20,6 milyar dan kripto lainnya, US$66.200 sekitar Rp946,6 juta. Jikalau ditotal, maka kerugian mencapai lebih dari Rp246,3 milyar.
Samarkan Transaksi, Apa Itu Tornado Cash dan Bitcoin Tumbler?
Tornado Cash adalah layanan daring yang memungkinkan pengguna menyamarkan arus transaksi untuk beberapa kripto termasuk ETH. Sedangkan BTC Tumbler ataupun BTC Mixer berlaku hal serupa, tetapi khusus untuk Bitcoin saja.
Menyamarkan arus transaksi atas dasar privasi adalah modus utama untuk pencucian uang, yakni dan hasil curian. Salah satu pelaku yang gemar menggunakan ini adalah sindikat kejahatan dunia maya asal Korea Utara, Lazarus.
Mencuci Uang Pakai Bitcoin Cs, Rp3,5 Triliun, Dua Warga Tiongkok Terlibat
Perusahaan riset Chainalysis sebelumnya menyebutkan, sejumlah aksi peretasan kripto sepanjang 2021, praktis menggunakan layanan Tornado Cash ini.
Hanya saja, penggunaan Tornado Cash ini punya kelemahan khusus. Pertama, jika saldo kripto yang dicuci sangat besar dalam satu kali transaksi, justru relatif mudah diendus.
Kedua, pengguna layanan ini, jikalau tidak benar menggunakan layanan VPN dan browser TOR dengan benar, memungkinkan IP address aslinya-nya terungkap. Inilah yang memudahkan aparat keamanan untuk meringkus pelaku peretasan, jikalau kelak kripto itu hendak ditukar menjadi fiat money dan ditransfer ke bank. [ps]
