Pencuri Kripto Mengalirkan $10M ETH yang Dicuri ke Tornado Cash

Saya baru saja menyaksikan pencurian yang menarik terjadi di blockchain. Beberapa peretas cerdik telah memindahkan $10 juta nilai ETH ke Tornado Cash setelah melancarkan salah satu penipuan phishing paling licik di tahun 2023. Ini bukan serangan acak - mereka secara spesifik menargetkan seorang paus kripto dan melarikan diri dengan kekayaan.

Pada 21 Maret, CertiK menemukan 3.700 ETH ( sekitar $10M) yang dicampurkan ke dalam layanan mixer. Dana ini merupakan bagian dari total $24 juta hasil curian yang dicuri pada bulan September lalu. Yang menarik adalah betapa sederhana namun efektifnya serangan tersebut - paus itu terjebak dalam trik tertua dalam buku: menyetujui transaksi berbahaya.

Korban mengklik "Tingkatkan Izin" pada sebuah transaksi, pada dasarnya menyerahkan kunci kerajaan kripto mereka kepada penyerang. Dengan satu izin itu, pencuri dapat menghabiskan token ERC-20 milik korban sesuka hati. Kesalahan klasik, konsekuensi yang katastrofi.

Serangan terjadi dalam dua gelombang, pertama mengambil 9.579 stETH, kemudian kembali untuk mengambil 4.851 rETH dari korban yang sama. Bicara tentang menambah cedera! Menurut PeckShield, penyerang mengonversi semuanya menjadi 13.785 ETH dan 1,64 juta DAI, menyebarkannya ke berbagai dompet.

Sejujurnya, keadaan keamanan di ruang ini terkadang membuat saya ingin mencabut rambut saya. Bulan Februari saja menyaksikan $47 juta hilang akibat penipuan phishing, dengan 78% terjadi di Ethereum. Mengapa orang masih terjebak dalam trik-trik ini?

Bahkan proyek yang sudah mapan pun tidak kebal. Cukup lihat Dolomite - kontrak lama mereka dieksploitasi sebesar $1,8M dari pengguna yang telah memberikan izin bertahun-tahun yang lalu dan melupakan izin tersebut. Eksploitasi persetujuan ini semakin menjadi wabah yang nyata.

Namun, tidak setiap serangan berhasil. Layerswap berhasil membatasi kerugian mereka menjadi "hanya" $100K ketika situs mereka disusupi. Mereka mengembalikan dana kepada pengguna, yang merupakan tindakan yang baik dari mereka, tetapi pencegahan akan lebih baik daripada pengobatan.

Bagian yang menakutkan? Serangan ini semakin canggih sambil memanfaatkan kesalahan manusia yang sama. Jika Anda sedang terlibat dalam crypto, periksa tiga kali setiap persetujuan yang Anda berikan. Permintaan izin yang tampaknya tidak berbahaya itu bisa menjadi setara digital dari menyerahkan dompet Anda kepada seseorang.

Inilah sebabnya mengapa adopsi utama tetap menjadi tantangan - satu klik yang salah dan tabungan hidup Anda menghilang ke dalam Tornado Cash. Wild west crypto terus berlanjut, dan tidak semua orang keluar dengan emas mereka.