Dunia kripto kembali dihebohkan dengan kasus pencurian aset digital bernilai fantastis. Serangan phishing kripto ini pertama kali terdeteksi oleh Scam Sniffer dan korban mengalami kerugian yang cukup besar.
“Seseorang kehilangan 15.079 fwDETH (US$35 juta) setelah menandatangani tanda tangan digital phishing,” tulisnya di X.
Mereka mengungkapkan bahwa korban terjebak saat memberikan izin tanda tangan, yang pada akhirnya membuka akses bagi pelaku ke dompet digitalnya.
Insiden ini bukan yang pertama kali terjadi, tetapi jumlah aset yang hilang menjadikannya salah satu kasus terbesar yang pernah dilaporkan dalam pasar kripto.
Kasus ini juga menjadi pengingat bagi para investor untuk meningkatkan kewaspadaan, terutama dalam hal keamanan dan otorisasi transaksi.
Korban Phishing Alami Kerugian US$35 Juta
Kerugian besar yang dialami oleh korban, yang diketahui menggunakan alamat dompet. Setelah korban memberikan tanda tangan phishing kripto, aset digital miliknya segera dipindahkan ke dompet milik.
Selain itu, dalam beberapa waktu sebelumnya, terjadi kasus serupa di mana seorang pengguna kehilangan aset bernilai US$2,47 juta dalam bentuk Aave Ethereum sDAI akibat skema yang serupa.
Dalam kasus tersebut, korban juga terjebak oleh tanda tangan phishing yang sama berbahayanya. Kasus ini menunjukkan bahwa para pelaku kejahatan memiliki berbagai teknik yang digunakan untuk menipu dan mengakses aset tanpa izin.
Kedua insiden ini menyoroti betapa rentannya sistem keamanan kripto terhadap serangan phishing. Pelaku kejahatan hanya memerlukan satu langkah sederhana, yakni memperoleh tanda tangan digital dari korban.
Dengan memperoleh tanda tangan ini, mereka mampu memanfaatkan celah otorisasi untuk mentransfer aset kripto korban ke dompet mereka. Hal ini menunjukkan bahwa ancaman serangan phishing kripto bukanlah masalah sepele.
CREATE2: Celah Masuk Bagi Hacker
Dalam kasus pencurian US$35 juta ini, pelaku kejahatan berhasil memanfaatkan fitur CREATE2 yang ada pada jaringan Ethereum untuk menciptakan alamat smart contract secara prediktif dan melakukan aksi jahat tanpa terdeteksi.
Fitur ini memungkinkan prediksi alamat smart contract di masa depan, yang dalam kondisi normal digunakan oleh pengembang untuk berbagai keperluan. CREATE2 sering dimanfaatkan oleh platform seperti Uniswap dalam membuat kontrak Pair yang diperlukan dalam transaksi di bursa desentralisasi.
Pelaku dapat memanfaatkan CREATE2 untuk menghasilkan alamat kontrak sementara yang hanya berlaku setelah korban memberikan izin melalui tanda tangan digital.
Setelah tanda tangan phishing kripto diperoleh, pelaku hanya membutuhkan waktu singkat untuk meluncurkan smart contract di alamat yang sudah diprediksi dan langsung mentransfer aset korban.
Dengan menggunakan CREATE2, pelaku dapat menyembunyikan niat jahat mereka dengan cara yang sulit dideteksi. Aset korban dipindahkan begitu cepat sehingga sistem keamanan tidak memiliki waktu untuk memberikan peringatan.
Risiko seperti ini sering kali luput dari perhatian investor kripto yang tidak atau belum memahami sepenuhnya kompleksitas sistem kontrak di jaringan blockchain Ethereum.
Meningkatkan Kesadaran akan Risiko Keamanan Kripto
Kasus pencurian dengan metode phishing kripto ini memperlihatkan bahwa keamanan di dunia kripto membutuhkan perhatian lebih serius. Serangan phishing, yang memanfaatkan fitur seperti CREATE2, memberikan ancaman nyata bagi para pengguna.
Kejadian ini juga menyoroti perlunya edukasi yang lebih mendalam bagi para pengguna kripto mengenai metode perlindungan yang efektif. Mereka harus memahami bahwa dalam dunia kripto, risiko kehilangan aset dapat terjadi dalam sekejap.
Kehati-hatian dan kewaspadaan ekstra menjadi hal yang mutlak. Sistem keamanan digital harus selalu diperbarui, dan pengguna harus terus mengedukasi diri agar menghindari terkena phishing kripto. [dp]