Serangan phishing kripto kembali memakan korban. Scam Sniffer, merupakan pihak pertama yang mendeteksi transaksi tersebut, mengungkapkan bahwa korban terjebak dalam proses otorisasi izin, sehingga mereka kehilangan aset yang dimiliki.
“Seseorang kehilangan aset senilai US$2,47 juta dalam bentuk Aave Ethereum sDAI setelah menandatangani tanda tangan phishing,” tulisnya di X.
Kasus ini menjadi pengingat keras tentang bahaya yang terus mengancam investor kripto, terutama terkait kelemahan pada sistem keamanan.
Pelaku Phishing Kripto Manfaatkan Celah CREATE2
Dengan nilai kerugian mencapai US$2,47 juta, pelaku phishing kripto berhasil mencuri aset kripto korban dengan memanfaatkan celah dalam mekanisme keamanan dompet kripto.
Serangan tersebut memanfaatkan fitur CREATE2, sebuah opcode di jaringan Ethereum yang memungkinkan seseorang untuk memprediksi alamat smart contract sebelum kontrak tersebut diluncurkan di blockchain.
CREATE2 sejatinya adalah fitur yang bermanfaat dalam jaringan Ethereum. Fitur ini sering digunakan oleh platform terkemuka seperti Uniswap untuk membuat kontrak Pair, yang diperlukan dalam transaksi di bursa desentralisasi.
Scam Sniffer menjelaskan bahwa para pelaku kejahatan tersebut telah memutarbalikkan fungsinya untuk tujuan yang merugikan.
“Dengan CREATE2, pelaku dapat dengan mudah menghasilkan alamat baru sementara untuk setiap tanda tangan jahat. Setelah korban menandatangani tanda tangan tersebut, pelaku membuat kontrak di alamat tersebut dan mentransfer aset pengguna. Motivasinya adalah untuk menghindari pemeriksaan keamanan dompet,” jelasnya.
CREATE2 dapat memprediksi alamat kontrak di masa depan dan oleh karena itu pelaku phishing kripto dapat membuat alamat kontrak yang hanya muncul setelah korban memberikan izin melalui tanda tangan digital. Pada saat korban menyadarinya, aset mereka sudah dipindahkan ke tangan pelaku.
Setelah tanda tangan phishing berhasil didapatkan, pelaku hanya membutuhkan waktu singkat untuk meluncurkan smart contract di alamat yang sudah dipersiapkan dan langsung mentransfer aset korban.
Karena proses ini berlangsung sangat cepat dan tidak memicu alarm di sistem keamanan dompet, korban sering kali baru menyadari pencurian tersebut setelah semuanya terlambat.
Situs Phishing Semakin Canggih dan Sulit Dikenali
Selain memanfaatkan kelemahan teknis, para pelaku phishing kripto juga semakin mahir dalam mengelabui pengguna melalui situs-situs web palsu. Situs phishing sering kali meniru platform populer seperti Etherscan.
Pelaku bahkan mampu memanipulasi algoritma mesin pencari seperti DuckDuckGo dan Bing untuk menampilkan situs phishing mereka di posisi atas hasil pencarian.
Hal ini semakin memperparah risiko bagi pengguna, karena hal tersebut membuatnya semakin sulit untuk membedakan antara situs mana yang asli dan palsu.
Scam Sniffer mencatat bahwa serangan phishing melalui mesin pencari ini menjadi salah satu metode yang paling berhasil digunakan oleh para pelaku kejahatan.
Kerugian Phishing Kripto Meningkat Drastis
Menurut laporan terakhir yang diungkapkan oleh Scam Sniffer, kerugian akibat phishing kripto terus meningkat. Pada bulan Agustus 2024 saja, lebih dari 9.100 korban kehilangan total sekitar US$63 juta.
Meskipun jumlah korban menurun dibandingkan beberapa bulan sebelumnya, nilai kerugian melonjak tajam, menunjukkan bahwa serangan kini lebih terfokus pada pengguna yang memiliki aset bernilai besar.
Para pelaku kejahatan dunia maya tidak hanya terus mengembangkan teknik baru, tetapi juga semakin cepat dan lebih cerdik dalam mengeksploitasi celah keamanan. Dalam menghadapi ancaman ini, investor kripto diharapkan lebih berhati-hati dan waspada dalam setiap interaksi mereka di ruang digital.
Phishing kripto mungkin terus berkembang, tetapi tindakan pencegahan yang tepat dan cepat dapat mengurangi risiko serta menghindari kerugian lebih besar. [dp]