$24M Hilang dalam Hitungan Menit: Begini Cara Paus Phishing Dihilangkan

Seekor paus kripto belajar dengan sangat keras mengapa Anda tidak pernah boleh mengklik tautan acak. Pada September 2023, seseorang kehilangan $24 juta melalui serangan phishing pada layanan staking Rocket Pool—dan baru saja, peretas memindahkan $10 juta nilai ETH ke Tornado Cash, kemungkinan untuk mencairkan dana tersebut.

Apa yang Sebenarnya Terjadi

Peretas menggunakan trik rekayasa sosial klasik: mereka membuat korban menyetujui transaksi “Increase Allowance”. Kedengarannya tidak berbahaya, kan? Tapi inilah intinya—izin ini pada dasarnya memberi peretas cek kosong untuk menguras token ERC-20 dari dompet tersebut.

Dalam dua gelombang, peretas menyedot:

• 9.579 stETH (Ethereum yang di-stake)
• 4.851 rETH (token penerimaan Rocket Pool)

Total kerugian: $24 juta.

Jejak Uang

Detektif blockchain dari PeckShield melacak dana yang dipertukarkan menjadi 13.785 ETH dan 1,64 juta DAI. ETH $10 juta baru saja masuk ke Tornado Cash (sebuah layanan pencampuran) pada 21 Maret—langkah pencucian uang klasik untuk menyembunyikan jejak transaksi.

Ini bukan kejadian yang terisolasi. Hanya dalam bulan Februari, penipuan phishing menguras hampir $47 juta dari pengguna kripto, dengan 78% menyerang Ethereum dan 86% berupa token ERC-20.

Masalah Utama: Persetujuan Token Sangat Berbahaya

Inilah yang kebanyakan orang tidak sadari: ketika Anda berinteraksi dengan protokol DeFi atau mencetak NFT, Anda sering menandatangani kontrak pintar yang mengatakan “alamat ini dapat memindahkan token saya.” Jika kontrak atau situs web tersebut diretas, Anda akan mengalami kerugian besar.

Hanya beberapa hari setelah peretasan ini, korban lain terkena melalui kontrak lama dari pertukaran Dolomite—$1,8 juta hilang dari pengguna yang sebelumnya menyetujui alamat tersebut. Dolomite harus buru-buru mengimbau pengguna untuk mencabut persetujuan tersebut secepatnya.

Berita Baik

Tidak setiap serangan berhasil secara besar-besaran. Ketika situs Layerswap diretas pada 20 Maret, penyedia DNS mereka menangkapnya cukup cepat sehingga hanya sekitar $100.000 yang disedot (mengguncang sekitar 50 pengguna). Mereka mengembalikan dana kepada semua orang plus kompensasi tambahan.

Apa yang Sebenarnya Harus Anda Lakukan

1. Jangan pernah menyetujui token tanpa batas—sebagian besar protokol memungkinkan Anda mengatur batas khusus
2. Cabut persetujuan lama yang sudah tidak Anda gunakan (cek di Etherscan atau revoke.cash)
3. Periksa URL sebelum terhubung—situs phishing tampak identik dengan yang asli
4. Pikirkan dua kali sebelum menandatangani kontrak—terutama dari DM Discord atau tautan acak

Perusahaan keamanan kripto dan komunitas membutuhkan sistem peringatan dini yang lebih baik, tapi jujur saja? Langkah paling aman adalah paranoia. Anggap setiap tautan palsu sampai terbukti sebaliknya.