Kripto dirancang untuk menjadi self-custodial. Itu adalah fitur utamanya. Namun atribut dasar ini, yang menjadi inti dari nilai-nilai industri, sering kali dapat menjadikan Anda sebagai pengguna sebagai titik kegagalan tunggal. Dalam banyak kasus individu yang kehilangan dana mereka dalam kripto, itu bukanlah bug dalam protokol: itu adalah sebuah klik. Sebuah DM. Sebuah persetujuan. Sebuah momen kepercayaan atau kelalaian saat melakukan tugas sehari-hari yang tampaknya tidak berkonsekuensi yang dapat mengubah jalannya pengalaman kripto seseorang.
Laporan ini bukanlah whitepaper teknis atau ulasan tentang logika kontrak pintar, melainkan model ancaman bagi individu. Sebuah analisis tentang bagaimana pengguna dieksploitasi dalam praktik, dan apa yang harus dilakukan tentang hal itu. Laporan ini akan fokus pada eksploitasi tingkat pribadi: phishing, persetujuan dompet, rekayasa sosial, malware. Ini juga akan secara singkat membahas risiko tingkat protokol di akhir untuk memberikan gambaran tentang spektrum eksploitasi yang terjadi dalam kripto.
Sifat permanen dan tidak dapat diubah dari transaksi yang terjadi dalam pengaturan tanpa izin, sering kali tanpa persetujuan dari perantara, digabungkan dengan fakta bahwa pengguna individu bertanggung jawab untuk berinteraksi dengan pihak ketiga yang anonim di perangkat dan browser yang sama yang menyimpan aset finansial, menjadikan kripto sebagai ladang pemburuan yang unik bagi peretas dan kriminal lainnya. Berikut adalah daftar luas tentang jenis eksploitasi yang dapat dihadapi individu, tetapi pembaca harus menyadari bahwa meskipun daftar ini mencakup sebagian besar eksploitasi, itu tidak lengkap. Daftar ini mungkin terasa berlebihan bagi mereka yang tidak akrab dengan kripto, tetapi sebagian besar dari ini adalah eksploitasi "biasa" yang telah terjadi cukup lama di era internet dan tidak unik untuk industri ini. §3 akan membahas beberapa metode eksploitasi kunci secara rinci.
Serangan yang mengandalkan manipulasi psikologis untuk menipu individu agar mengorbankan keamanan mereka.
Gambar 1: Konsekuensi dari rekayasa sosial bisa sangat parah
Sumber: Cointelegraph
Mengeksploitasi infrastruktur telekomunikasi atau kelemahan tingkat akun untuk melewati otentikasi.
Gambar 2: Sebuah Tweet palsu dari SEC melalui SIM swap
Sumber: Twitter
Mengompromikan perangkat pengguna untuk mengekstrak akses dompet atau mengubah transaksi (lebih lanjut di §3).
Gambar 3: Dompet palsu adalah penipuan umum yang menargetkan pengguna kripto pemula
Sumber: cryptorank
Serangan yang menargetkan cara pengguna mengelola atau berinteraksi dengan dompet dan antarmuka penandatanganan.
Risiko yang berasal dari interaksi dengan kode on-chain yang berbahaya atau rentan.
Gambar 4: Sebuah pinjaman kilat bertanggung jawab atas salah satu eksploitasi terbesar DeFi
Sumber: Elliptic
Penipuan yang terkait dengan struktur token, proyek DeFi, atau koleksi NFT.
Mengeksploitasi infrastruktur tingkat depan atau DNS yang diandalkan pengguna.
Risiko dunia nyata yang melibatkan pemaksaan, pencurian, atau pengawasan.
Gambar 5: Sayangnya, ancaman fisik telah menjadi hal yang umum
Sumber: The New York Times
Beberapa eksploitasi terjadi lebih sering daripada yang lain. Berikut adalah tiga eksploitasi yang harus diketahui oleh individu yang memegang atau berinteraksi dengan kripto, termasuk cara mencegahnya. Sebuah agregasi teknik pencegahan dan atribut kunci yang harus diperhatikan akan dicantumkan di akhir bagian ini karena terdapat tumpang tindih di antara berbagai metode eksploitasi.
Phishing sudah ada sebelum kripto selama beberapa dekade dan istilah ini muncul pada 1990-an untuk menggambarkan penyerang yang “memancing” informasi sensitif, biasanya kredensial login, melalui email dan situs web palsu. Ketika kripto muncul sebagai sistem keuangan paralel, phishing secara alami berkembang untuk menargetkan frasa benih, kunci pribadi, dan otorisasi dompet yaitu, ekuivalen kripto dari “kontrol penuh.”
Phishing kripto sangat berbahaya karena tidak ada jalan keluar: tidak ada pengembalian, tidak ada perlindungan penipuan, dan tidak ada dukungan pelanggan yang dapat membalikkan transaksi. Begitu kunci Anda dicuri, dana Anda seolah-olah hilang. Penting juga untuk diingat bahwa phishing terkadang hanyalah langkah pertama dalam eksploitasi yang lebih luas, membuat risiko nyata bukanlah kehilangan awal, tetapi rangkaian kompromi yang mengikuti, misalnya, kredensial yang dikompromikan dapat memungkinkan penyerang untuk menyamar sebagai korban dan menipu orang lain.
Bagaimana cara kerja phishing?
Pada intinya, phishing mengeksploitasi kepercayaan manusia dengan menyajikan versi palsu dari antarmuka yang tepercaya, atau dengan menyamar sebagai seseorang yang berwenang, untuk menipu pengguna agar secara sukarela menyerahkan informasi sensitif atau menyetujui tindakan jahat. Ada beberapa vektor pengiriman utama:
Gambar 6: Selalu berhati-hati ketika Anda melihat "gratis" dalam kripto
Sumber: Presto Research
Contoh phishing
Peretasan Atomic Wallet pada Juni 2023, yang dikaitkan dengan Grup Lazarus dari Korea Utara, merupakan salah satu serangan phishing murni yang paling merusak dalam sejarah kripto. Ini mengakibatkan pencurian lebih dari $100 juta dalam kripto dengan mengkompromikan lebih dari 5.500 dompet non-kustodial tanpa memerlukan pengguna untuk menandatangani transaksi jahat atau berinteraksi dengan kontrak pintar. Serangan ini berfokus secara eksklusif pada ekstraksi frasa benih dan kunci pribadi melalui antarmuka yang menipu dan malware - contoh klasik dari pencurian kredensial berbasis phishing.
Atomic Wallet adalah dompet multi-chain non-kustodian yang mendukung lebih dari 500 kripto. Dalam insiden ini, penyerang melancarkan kampanye phishing terkoordinasi yang mengeksploitasi kepercayaan pengguna terhadap infrastruktur dukungan dompet, proses pembaruan, dan identitas merek. Korban dijebak melalui email, situs web palsu, dan pembaruan perangkat lunak yang telah terinfeksi trojan, semuanya dirancang untuk meniru komunikasi yang sah dari Atomic Wallet.
Vektor phishing yang termasuk:
atomic-wallet[.]co
) yang meniru antarmuka pemulihan dompet atau klaim hadiah.Setelah pengguna memasukkan frasa biji 12 atau 24 kata mereka atau kunci pribadi ke dalam antarmuka penipuan ini, penyerang mendapatkan akses penuh ke dompet mereka. Eksploitasi ini tidak melibatkan interaksi on-chain dari korban: tidak ada koneksi dompet, tidak ada permintaan tanda tangan, dan tidak ada keterlibatan kontrak pintar. Sebaliknya, itu sepenuhnya bergantung pada rekayasa sosial dan kesediaan pengguna untuk memulihkan atau memverifikasi dompet mereka di platform yang tampaknya tepercaya.
Penguras dompet adalah jenis kontrak pintar atau dApp jahat yang dirancang untuk mengekstrak aset dari dompet Anda, bukan dengan mencuri kunci pribadi Anda, tetapi dengan menipu Anda untuk memberikan akses token atau menandatangani transaksi berbahaya. Tidak seperti phishing, yang mencari kredensial Anda, penguras memanfaatkan izin - mekanisme dasar kepercayaan yang mendasari Web3.
Seiring dengan DeFi dan aplikasi Web3 menjadi arus utama, dompet seperti MetaMask dan Phantom mempopulerkan gagasan "menghubungkan" ke dApps. Ini membawa kenyamanan tetapi juga permukaan serangan yang besar. Dari tahun 2021–2023, drainase persetujuan meledak dalam popularitas melalui pencetakan NFT, airdrop palsu, dan dApps yang mengalami rug-pull mulai menyisipkan kontrak jahat ke dalam antarmuka yang biasanya familiar. Pengguna, sering kali bersemangat atau teralihkan, akan menghubungkan dompet mereka dan mengklik "Setujui" tanpa menyadari apa yang mereka berikan izin.
Apa bedanya ini dengan phishing?
Phishing melibatkan penipuan seseorang untuk secara sukarela mengungkapkan kredensial sensitif, seperti frasa benih, kata sandi, atau kunci pribadi. Menghubungkan dompet Anda tidak mengungkapkan kunci atau frasa Anda karena Anda tidak menyerahkan rahasia, Anda menandatangani transaksi atau memberikan izin. Eksploitasi ini terjadi melalui logika kontrak pintar, bukan pencurian kredensial Anda, menjadikannya secara mekanis berbeda dari phishing. Anda memberi otorisasi untuk pengurasan, seringkali tanpa menyadarinya, yang lebih mirip dengan "jebakan persetujuan" daripada pencurian kredensial.
Anda dapat menganggap phishing sebagai berbasis KREDENSIAL dan penguras dompet / persetujuan jahat sebagai berbasis PERMISSION.
Mekanisme serangan
Persetujuan jahat mengeksploitasi sistem izin dalam standar blockchain seperti ERC-20 (token) dan ERC-721/ERC-1155 (NFT). Mereka menipu pengguna untuk memberikan akses berkelanjutan kepada penyerang terhadap aset mereka.
Contoh penguras dompet / persetujuan jahat
Skema Monkey Drainer, yang aktif terutama pada tahun 2022 dan awal 2023, adalah toolkit phishing "drainer-as-a-service" yang terkenal yang bertanggung jawab atas pencurian jutaan dalam kripto (termasuk NFT) melalui situs web yang menipu dan kontrak pintar berbahaya. Berbeda dengan phishing tradisional, yang bergantung pada pengumpulan frase benih atau kata sandi pengguna, Monkey Drainer beroperasi melalui tanda tangan transaksi berbahaya dan penyalahgunaan kontrak pintar, memungkinkan penyerang untuk mengekstrak token dan NFT tanpa kompromi kredensial langsung. Dengan menipu pengguna untuk menandatangani persetujuan on-chain yang berbahaya, Monkey Drainer memungkinkan pencurian lebih dari $4,3 juta di ratusan dompet sebelum ditutup pada awal 2023.
Gambar 7: Detektif on-chain terkenal ZachXBT mengungkap penipuan Monkey Drainer
Sumber: Twitter (@zachxbt)
Kit ini populer di kalangan penyerang dengan keterampilan rendah dan dipasarkan secara besar-besaran di komunitas Telegram bawah tanah dan dark web. Ini memungkinkan afiliasi untuk mengkloning situs mint palsu, menyamar sebagai proyek nyata, dan mengonfigurasi backend untuk meneruskan transaksi yang ditandatangani ke kontrak pengurasan terpusat. Kontrak-kontrak ini dirancang untuk mengeksploitasi izin token, mengandalkan pengguna untuk tanpa sadar menandatangani pesan yang memberikan alamat penyerang akses ke aset melalui fungsi seperti setApprovalForAll() (NFT) atau permit() (token ERC-20).
Perlu dicatat bahwa alur interaksi menghindari phishing langsung: korban tidak diminta untuk memberikan kunci pribadi atau frasa awal mereka. Sebaliknya, mereka berinteraksi dengan dApps yang tampak sah, sering kali di halaman pencetakan dengan hitungan mundur atau merek yang dipromosikan. Setelah terhubung, pengguna akan diminta untuk menandatangani transaksi yang tidak mereka pahami sepenuhnya, sering kali disamarkan dengan bahasa persetujuan umum atau kebingungan UI dompet. Tanda tangan ini tidak mentransfer dana secara langsung, tetapi memberi wewenang kepada penyerang untuk melakukannya kapan saja. Dengan izin yang diberikan, kontrak drainer dapat mengeksekusi penarikan batch dalam satu blok.
Ciri khas dari metode Monkey Drainer adalah eksekusi yang tertunda: aset yang dicuri sering kali diambil beberapa jam atau hari kemudian, untuk menghindari kecurigaan dan memaksimalkan hasil. Ini membuatnya sangat efektif terhadap pengguna dengan dompet besar atau aktivitas perdagangan aktif, yang persetujuannya menyatu dengan pola penggunaan normal. Korban terkenal termasuk kolektor NFT yang kehilangan aset dari proyek seperti CloneX, Bored Apes, dan Azuki.
Meskipun Monkey Drainer menghentikan operasinya pada tahun 2023, diduga untuk "bersembunyi", era penguras dompet terus berkembang, menimbulkan ancaman yang terus-menerus bagi pengguna yang salah paham atau meremehkan kekuatan persetujuan on-chain.
Akhirnya, 'malware dan eksploitasi perangkat' merujuk pada berbagai serangan yang luas dan serbaguna yang mencakup berbagai vektor pengiriman yang semuanya bertujuan untuk mengkompromikan komputer, telepon, atau browser pengguna, biasanya melalui perangkat lunak berbahaya yang diinstal melalui penipuan. Tujuannya biasanya adalah untuk mencuri informasi sensitif (misalnya frasa benih, kunci pribadi), mencegat interaksi dompet, atau memberikan kontrol jarak jauh kepada penyerang atas perangkat korban. Dalam kripto, serangan ini sering dimulai dengan rekayasa sosial, seperti tawaran pekerjaan palsu, pembaruan aplikasi palsu, atau file yang dikirim melalui Discord, tetapi dengan cepat meningkat menjadi kompromi sistem secara penuh.
Malware telah ada sejak awal komputer pribadi. Dalam konteks tradisional, itu digunakan untuk mencuri informasi kartu kredit, mengumpulkan login, atau membajak sistem untuk spam atau ransomware. Ketika kripto mendapatkan perhatian, penyerang beralih: alih-alih menargetkan kredensial untuk perbankan online (yang dapat dibalik), mereka sekarang bertujuan untuk mencuri aset kripto yang tidak dapat dibalik.
Bagaimana Serangan Ini Dimulai… Sudut Pandang Rekayasa Sosial
Sebagian besar malware tidak menyebar secara acak: itu memerlukan korban untuk tertipu agar mengeksekusinya. Di sinilah rekayasa sosial berperan.
Metode Pengiriman Umum:
Jalur umum: Penyerang menciptakan konteks yang dapat dipercaya yang meyakinkan pengguna untuk mengklik, mengunduh, atau membuka sesuatu yang berbahaya.
Jenis Malware Umum dalam Eksploitasi Kripto
Contoh: Penipuan Pekerjaan Axie Infinity 2022
Skema pekerjaan Axie Infinity pada tahun 2022, yang mengarah pada peretasan besar Ronin Bridge, adalah contoh utama dari malware dan eksploitasi perangkat di ruang kripto, yang didorong oleh rekayasa sosial yang canggih. Serangan ini, yang dikaitkan dengan kelompok Lazarus yang didukung negara Korea Utara, mengakibatkan pencurian sekitar $620 juta dalam cryptocurrency, menjadikannya salah satu peretasan keuangan terdesentralisasi (DeFi) terbesar hingga saat ini.
Gambar 8: Eksploitasi Axie Infinity berhasil masuk ke media TradFi
Sumber: Bloomberg TV
Peretasan tersebut adalah operasi multi-tahap yang menggabungkan rekayasa sosial, penyebaran malware, dan eksploitasi kerentanan infrastruktur blockchain.
Para hacker yang menyamar sebagai perekrut dari perusahaan fiktif, menargetkan karyawan Sky Mavis melalui LinkedIn: Sky Mavis adalah perusahaan di balik Jaringan Ronin, sebuah sidechain yang terhubung dengan Ethereum yang mendukung Axie Infinity, sebuah permainan blockchain play-to-earn yang populer. Pada saat itu, Ronin dan Axie Infinity memiliki kapitalisasi pasar masing-masing sekitar $300 juta dan $4 miliar.
Beberapa karyawan dihubungi, tetapi seorang insinyur senior menjadi target utama yang dijadikan sasaran oleh para penyerang dengan melakukan beberapa putaran wawancara kerja palsu untuk membangun kepercayaan, menawarkan paket kompensasi yang sangat menggiurkan untuk menarik insinyur tersebut. Para penyerang mengirimkan dokumen PDF yang menyamar sebagai tawaran pekerjaan resmi kepada insinyur tersebut. Insinyur tersebut, yang percaya bahwa itu adalah bagian dari proses perekrutan, mengunduh dan membuka file di komputer perusahaan. PDF tersebut berisi RAT yang menginfeksi sistem insinyur saat dibuka, memberikan akses kepada peretas ke sistem internal Sky Mavis, kemungkinan melalui eskalasi hak istimewa atau pergerakan lateral dalam jaringan. Kompromi ini memberikan pijakan untuk menargetkan infrastruktur Jaringan Ronin.
Mekanisme peretasan yang terus mengeksploitasi jembatan Ronin dan Axie DAO berada di luar ruang lingkup artikel penelitian ini, namun, eksploitasi ini mengakibatkan pencurian senilai $620 juta (173.600 ETH dan 25,5 juta USDC) dengan hanya $30 juta yang berhasil dipulihkan.
Upaya eksploitasi semakin canggih, tetapi masih bergantung pada tanda-tanda yang mencolok. Bendera merah meliputi:
Aturan OpSec (keamanan operasional) lebih lanjut:
Sebagian besar pengguna menganggap eksploitasi dalam kripto sebagai sesuatu yang teknis dan tidak dapat dihindari, terutama bagi mereka yang baru di industri ini. Meskipun hal itu mungkin benar untuk metode serangan yang kompleks, seringkali langkah awal menargetkan individu dengan cara non-teknis, sehingga sisa eksploitasi dapat dicegah.
Sebagian besar kerugian pribadi di ruang ini tidak berasal dari bug protokol yang tidak biasa atau zero-day yang baru, melainkan dari orang-orang yang menandatangani hal-hal yang tidak mereka baca atau mengimpor dompet ke aplikasi palsu, atau mempercayai DM yang terasa cukup masuk akal. Alat-alatnya mungkin baru, tetapi taktiknya sudah ada sejak zaman dahulu: penipuan, urgensi, pengalihan.
Orang datang ke kripto untuk penyimpanan sendiri dan sifat tanpa izin, tetapi pengguna perlu ingat bahwa di sini taruhannya lebih tinggi; dalam keuangan tradisional, Anda ditipu dan Anda menghubungi bank. Di kripto, Anda ditipu dan itu adalah akhir dari cerita.
Kripto dirancang untuk menjadi self-custodial. Itu adalah fitur utamanya. Namun atribut dasar ini, yang menjadi inti dari nilai-nilai industri, sering kali dapat menjadikan Anda sebagai pengguna sebagai titik kegagalan tunggal. Dalam banyak kasus individu yang kehilangan dana mereka dalam kripto, itu bukanlah bug dalam protokol: itu adalah sebuah klik. Sebuah DM. Sebuah persetujuan. Sebuah momen kepercayaan atau kelalaian saat melakukan tugas sehari-hari yang tampaknya tidak berkonsekuensi yang dapat mengubah jalannya pengalaman kripto seseorang.
Laporan ini bukanlah whitepaper teknis atau ulasan tentang logika kontrak pintar, melainkan model ancaman bagi individu. Sebuah analisis tentang bagaimana pengguna dieksploitasi dalam praktik, dan apa yang harus dilakukan tentang hal itu. Laporan ini akan fokus pada eksploitasi tingkat pribadi: phishing, persetujuan dompet, rekayasa sosial, malware. Ini juga akan secara singkat membahas risiko tingkat protokol di akhir untuk memberikan gambaran tentang spektrum eksploitasi yang terjadi dalam kripto.
Sifat permanen dan tidak dapat diubah dari transaksi yang terjadi dalam pengaturan tanpa izin, sering kali tanpa persetujuan dari perantara, digabungkan dengan fakta bahwa pengguna individu bertanggung jawab untuk berinteraksi dengan pihak ketiga yang anonim di perangkat dan browser yang sama yang menyimpan aset finansial, menjadikan kripto sebagai ladang pemburuan yang unik bagi peretas dan kriminal lainnya. Berikut adalah daftar luas tentang jenis eksploitasi yang dapat dihadapi individu, tetapi pembaca harus menyadari bahwa meskipun daftar ini mencakup sebagian besar eksploitasi, itu tidak lengkap. Daftar ini mungkin terasa berlebihan bagi mereka yang tidak akrab dengan kripto, tetapi sebagian besar dari ini adalah eksploitasi "biasa" yang telah terjadi cukup lama di era internet dan tidak unik untuk industri ini. §3 akan membahas beberapa metode eksploitasi kunci secara rinci.
Serangan yang mengandalkan manipulasi psikologis untuk menipu individu agar mengorbankan keamanan mereka.
Gambar 1: Konsekuensi dari rekayasa sosial bisa sangat parah
Sumber: Cointelegraph
Mengeksploitasi infrastruktur telekomunikasi atau kelemahan tingkat akun untuk melewati otentikasi.
Gambar 2: Sebuah Tweet palsu dari SEC melalui SIM swap
Sumber: Twitter
Mengompromikan perangkat pengguna untuk mengekstrak akses dompet atau mengubah transaksi (lebih lanjut di §3).
Gambar 3: Dompet palsu adalah penipuan umum yang menargetkan pengguna kripto pemula
Sumber: cryptorank
Serangan yang menargetkan cara pengguna mengelola atau berinteraksi dengan dompet dan antarmuka penandatanganan.
Risiko yang berasal dari interaksi dengan kode on-chain yang berbahaya atau rentan.
Gambar 4: Sebuah pinjaman kilat bertanggung jawab atas salah satu eksploitasi terbesar DeFi
Sumber: Elliptic
Penipuan yang terkait dengan struktur token, proyek DeFi, atau koleksi NFT.
Mengeksploitasi infrastruktur tingkat depan atau DNS yang diandalkan pengguna.
Risiko dunia nyata yang melibatkan pemaksaan, pencurian, atau pengawasan.
Gambar 5: Sayangnya, ancaman fisik telah menjadi hal yang umum
Sumber: The New York Times
Beberapa eksploitasi terjadi lebih sering daripada yang lain. Berikut adalah tiga eksploitasi yang harus diketahui oleh individu yang memegang atau berinteraksi dengan kripto, termasuk cara mencegahnya. Sebuah agregasi teknik pencegahan dan atribut kunci yang harus diperhatikan akan dicantumkan di akhir bagian ini karena terdapat tumpang tindih di antara berbagai metode eksploitasi.
Phishing sudah ada sebelum kripto selama beberapa dekade dan istilah ini muncul pada 1990-an untuk menggambarkan penyerang yang “memancing” informasi sensitif, biasanya kredensial login, melalui email dan situs web palsu. Ketika kripto muncul sebagai sistem keuangan paralel, phishing secara alami berkembang untuk menargetkan frasa benih, kunci pribadi, dan otorisasi dompet yaitu, ekuivalen kripto dari “kontrol penuh.”
Phishing kripto sangat berbahaya karena tidak ada jalan keluar: tidak ada pengembalian, tidak ada perlindungan penipuan, dan tidak ada dukungan pelanggan yang dapat membalikkan transaksi. Begitu kunci Anda dicuri, dana Anda seolah-olah hilang. Penting juga untuk diingat bahwa phishing terkadang hanyalah langkah pertama dalam eksploitasi yang lebih luas, membuat risiko nyata bukanlah kehilangan awal, tetapi rangkaian kompromi yang mengikuti, misalnya, kredensial yang dikompromikan dapat memungkinkan penyerang untuk menyamar sebagai korban dan menipu orang lain.
Bagaimana cara kerja phishing?
Pada intinya, phishing mengeksploitasi kepercayaan manusia dengan menyajikan versi palsu dari antarmuka yang tepercaya, atau dengan menyamar sebagai seseorang yang berwenang, untuk menipu pengguna agar secara sukarela menyerahkan informasi sensitif atau menyetujui tindakan jahat. Ada beberapa vektor pengiriman utama:
Gambar 6: Selalu berhati-hati ketika Anda melihat "gratis" dalam kripto
Sumber: Presto Research
Contoh phishing
Peretasan Atomic Wallet pada Juni 2023, yang dikaitkan dengan Grup Lazarus dari Korea Utara, merupakan salah satu serangan phishing murni yang paling merusak dalam sejarah kripto. Ini mengakibatkan pencurian lebih dari $100 juta dalam kripto dengan mengkompromikan lebih dari 5.500 dompet non-kustodial tanpa memerlukan pengguna untuk menandatangani transaksi jahat atau berinteraksi dengan kontrak pintar. Serangan ini berfokus secara eksklusif pada ekstraksi frasa benih dan kunci pribadi melalui antarmuka yang menipu dan malware - contoh klasik dari pencurian kredensial berbasis phishing.
Atomic Wallet adalah dompet multi-chain non-kustodian yang mendukung lebih dari 500 kripto. Dalam insiden ini, penyerang melancarkan kampanye phishing terkoordinasi yang mengeksploitasi kepercayaan pengguna terhadap infrastruktur dukungan dompet, proses pembaruan, dan identitas merek. Korban dijebak melalui email, situs web palsu, dan pembaruan perangkat lunak yang telah terinfeksi trojan, semuanya dirancang untuk meniru komunikasi yang sah dari Atomic Wallet.
Vektor phishing yang termasuk:
atomic-wallet[.]co
) yang meniru antarmuka pemulihan dompet atau klaim hadiah.Setelah pengguna memasukkan frasa biji 12 atau 24 kata mereka atau kunci pribadi ke dalam antarmuka penipuan ini, penyerang mendapatkan akses penuh ke dompet mereka. Eksploitasi ini tidak melibatkan interaksi on-chain dari korban: tidak ada koneksi dompet, tidak ada permintaan tanda tangan, dan tidak ada keterlibatan kontrak pintar. Sebaliknya, itu sepenuhnya bergantung pada rekayasa sosial dan kesediaan pengguna untuk memulihkan atau memverifikasi dompet mereka di platform yang tampaknya tepercaya.
Penguras dompet adalah jenis kontrak pintar atau dApp jahat yang dirancang untuk mengekstrak aset dari dompet Anda, bukan dengan mencuri kunci pribadi Anda, tetapi dengan menipu Anda untuk memberikan akses token atau menandatangani transaksi berbahaya. Tidak seperti phishing, yang mencari kredensial Anda, penguras memanfaatkan izin - mekanisme dasar kepercayaan yang mendasari Web3.
Seiring dengan DeFi dan aplikasi Web3 menjadi arus utama, dompet seperti MetaMask dan Phantom mempopulerkan gagasan "menghubungkan" ke dApps. Ini membawa kenyamanan tetapi juga permukaan serangan yang besar. Dari tahun 2021–2023, drainase persetujuan meledak dalam popularitas melalui pencetakan NFT, airdrop palsu, dan dApps yang mengalami rug-pull mulai menyisipkan kontrak jahat ke dalam antarmuka yang biasanya familiar. Pengguna, sering kali bersemangat atau teralihkan, akan menghubungkan dompet mereka dan mengklik "Setujui" tanpa menyadari apa yang mereka berikan izin.
Apa bedanya ini dengan phishing?
Phishing melibatkan penipuan seseorang untuk secara sukarela mengungkapkan kredensial sensitif, seperti frasa benih, kata sandi, atau kunci pribadi. Menghubungkan dompet Anda tidak mengungkapkan kunci atau frasa Anda karena Anda tidak menyerahkan rahasia, Anda menandatangani transaksi atau memberikan izin. Eksploitasi ini terjadi melalui logika kontrak pintar, bukan pencurian kredensial Anda, menjadikannya secara mekanis berbeda dari phishing. Anda memberi otorisasi untuk pengurasan, seringkali tanpa menyadarinya, yang lebih mirip dengan "jebakan persetujuan" daripada pencurian kredensial.
Anda dapat menganggap phishing sebagai berbasis KREDENSIAL dan penguras dompet / persetujuan jahat sebagai berbasis PERMISSION.
Mekanisme serangan
Persetujuan jahat mengeksploitasi sistem izin dalam standar blockchain seperti ERC-20 (token) dan ERC-721/ERC-1155 (NFT). Mereka menipu pengguna untuk memberikan akses berkelanjutan kepada penyerang terhadap aset mereka.
Contoh penguras dompet / persetujuan jahat
Skema Monkey Drainer, yang aktif terutama pada tahun 2022 dan awal 2023, adalah toolkit phishing "drainer-as-a-service" yang terkenal yang bertanggung jawab atas pencurian jutaan dalam kripto (termasuk NFT) melalui situs web yang menipu dan kontrak pintar berbahaya. Berbeda dengan phishing tradisional, yang bergantung pada pengumpulan frase benih atau kata sandi pengguna, Monkey Drainer beroperasi melalui tanda tangan transaksi berbahaya dan penyalahgunaan kontrak pintar, memungkinkan penyerang untuk mengekstrak token dan NFT tanpa kompromi kredensial langsung. Dengan menipu pengguna untuk menandatangani persetujuan on-chain yang berbahaya, Monkey Drainer memungkinkan pencurian lebih dari $4,3 juta di ratusan dompet sebelum ditutup pada awal 2023.
Gambar 7: Detektif on-chain terkenal ZachXBT mengungkap penipuan Monkey Drainer
Sumber: Twitter (@zachxbt)
Kit ini populer di kalangan penyerang dengan keterampilan rendah dan dipasarkan secara besar-besaran di komunitas Telegram bawah tanah dan dark web. Ini memungkinkan afiliasi untuk mengkloning situs mint palsu, menyamar sebagai proyek nyata, dan mengonfigurasi backend untuk meneruskan transaksi yang ditandatangani ke kontrak pengurasan terpusat. Kontrak-kontrak ini dirancang untuk mengeksploitasi izin token, mengandalkan pengguna untuk tanpa sadar menandatangani pesan yang memberikan alamat penyerang akses ke aset melalui fungsi seperti setApprovalForAll() (NFT) atau permit() (token ERC-20).
Perlu dicatat bahwa alur interaksi menghindari phishing langsung: korban tidak diminta untuk memberikan kunci pribadi atau frasa awal mereka. Sebaliknya, mereka berinteraksi dengan dApps yang tampak sah, sering kali di halaman pencetakan dengan hitungan mundur atau merek yang dipromosikan. Setelah terhubung, pengguna akan diminta untuk menandatangani transaksi yang tidak mereka pahami sepenuhnya, sering kali disamarkan dengan bahasa persetujuan umum atau kebingungan UI dompet. Tanda tangan ini tidak mentransfer dana secara langsung, tetapi memberi wewenang kepada penyerang untuk melakukannya kapan saja. Dengan izin yang diberikan, kontrak drainer dapat mengeksekusi penarikan batch dalam satu blok.
Ciri khas dari metode Monkey Drainer adalah eksekusi yang tertunda: aset yang dicuri sering kali diambil beberapa jam atau hari kemudian, untuk menghindari kecurigaan dan memaksimalkan hasil. Ini membuatnya sangat efektif terhadap pengguna dengan dompet besar atau aktivitas perdagangan aktif, yang persetujuannya menyatu dengan pola penggunaan normal. Korban terkenal termasuk kolektor NFT yang kehilangan aset dari proyek seperti CloneX, Bored Apes, dan Azuki.
Meskipun Monkey Drainer menghentikan operasinya pada tahun 2023, diduga untuk "bersembunyi", era penguras dompet terus berkembang, menimbulkan ancaman yang terus-menerus bagi pengguna yang salah paham atau meremehkan kekuatan persetujuan on-chain.
Akhirnya, 'malware dan eksploitasi perangkat' merujuk pada berbagai serangan yang luas dan serbaguna yang mencakup berbagai vektor pengiriman yang semuanya bertujuan untuk mengkompromikan komputer, telepon, atau browser pengguna, biasanya melalui perangkat lunak berbahaya yang diinstal melalui penipuan. Tujuannya biasanya adalah untuk mencuri informasi sensitif (misalnya frasa benih, kunci pribadi), mencegat interaksi dompet, atau memberikan kontrol jarak jauh kepada penyerang atas perangkat korban. Dalam kripto, serangan ini sering dimulai dengan rekayasa sosial, seperti tawaran pekerjaan palsu, pembaruan aplikasi palsu, atau file yang dikirim melalui Discord, tetapi dengan cepat meningkat menjadi kompromi sistem secara penuh.
Malware telah ada sejak awal komputer pribadi. Dalam konteks tradisional, itu digunakan untuk mencuri informasi kartu kredit, mengumpulkan login, atau membajak sistem untuk spam atau ransomware. Ketika kripto mendapatkan perhatian, penyerang beralih: alih-alih menargetkan kredensial untuk perbankan online (yang dapat dibalik), mereka sekarang bertujuan untuk mencuri aset kripto yang tidak dapat dibalik.
Bagaimana Serangan Ini Dimulai… Sudut Pandang Rekayasa Sosial
Sebagian besar malware tidak menyebar secara acak: itu memerlukan korban untuk tertipu agar mengeksekusinya. Di sinilah rekayasa sosial berperan.
Metode Pengiriman Umum:
Jalur umum: Penyerang menciptakan konteks yang dapat dipercaya yang meyakinkan pengguna untuk mengklik, mengunduh, atau membuka sesuatu yang berbahaya.
Jenis Malware Umum dalam Eksploitasi Kripto
Contoh: Penipuan Pekerjaan Axie Infinity 2022
Skema pekerjaan Axie Infinity pada tahun 2022, yang mengarah pada peretasan besar Ronin Bridge, adalah contoh utama dari malware dan eksploitasi perangkat di ruang kripto, yang didorong oleh rekayasa sosial yang canggih. Serangan ini, yang dikaitkan dengan kelompok Lazarus yang didukung negara Korea Utara, mengakibatkan pencurian sekitar $620 juta dalam cryptocurrency, menjadikannya salah satu peretasan keuangan terdesentralisasi (DeFi) terbesar hingga saat ini.
Gambar 8: Eksploitasi Axie Infinity berhasil masuk ke media TradFi
Sumber: Bloomberg TV
Peretasan tersebut adalah operasi multi-tahap yang menggabungkan rekayasa sosial, penyebaran malware, dan eksploitasi kerentanan infrastruktur blockchain.
Para hacker yang menyamar sebagai perekrut dari perusahaan fiktif, menargetkan karyawan Sky Mavis melalui LinkedIn: Sky Mavis adalah perusahaan di balik Jaringan Ronin, sebuah sidechain yang terhubung dengan Ethereum yang mendukung Axie Infinity, sebuah permainan blockchain play-to-earn yang populer. Pada saat itu, Ronin dan Axie Infinity memiliki kapitalisasi pasar masing-masing sekitar $300 juta dan $4 miliar.
Beberapa karyawan dihubungi, tetapi seorang insinyur senior menjadi target utama yang dijadikan sasaran oleh para penyerang dengan melakukan beberapa putaran wawancara kerja palsu untuk membangun kepercayaan, menawarkan paket kompensasi yang sangat menggiurkan untuk menarik insinyur tersebut. Para penyerang mengirimkan dokumen PDF yang menyamar sebagai tawaran pekerjaan resmi kepada insinyur tersebut. Insinyur tersebut, yang percaya bahwa itu adalah bagian dari proses perekrutan, mengunduh dan membuka file di komputer perusahaan. PDF tersebut berisi RAT yang menginfeksi sistem insinyur saat dibuka, memberikan akses kepada peretas ke sistem internal Sky Mavis, kemungkinan melalui eskalasi hak istimewa atau pergerakan lateral dalam jaringan. Kompromi ini memberikan pijakan untuk menargetkan infrastruktur Jaringan Ronin.
Mekanisme peretasan yang terus mengeksploitasi jembatan Ronin dan Axie DAO berada di luar ruang lingkup artikel penelitian ini, namun, eksploitasi ini mengakibatkan pencurian senilai $620 juta (173.600 ETH dan 25,5 juta USDC) dengan hanya $30 juta yang berhasil dipulihkan.
Upaya eksploitasi semakin canggih, tetapi masih bergantung pada tanda-tanda yang mencolok. Bendera merah meliputi:
Aturan OpSec (keamanan operasional) lebih lanjut:
Sebagian besar pengguna menganggap eksploitasi dalam kripto sebagai sesuatu yang teknis dan tidak dapat dihindari, terutama bagi mereka yang baru di industri ini. Meskipun hal itu mungkin benar untuk metode serangan yang kompleks, seringkali langkah awal menargetkan individu dengan cara non-teknis, sehingga sisa eksploitasi dapat dicegah.
Sebagian besar kerugian pribadi di ruang ini tidak berasal dari bug protokol yang tidak biasa atau zero-day yang baru, melainkan dari orang-orang yang menandatangani hal-hal yang tidak mereka baca atau mengimpor dompet ke aplikasi palsu, atau mempercayai DM yang terasa cukup masuk akal. Alat-alatnya mungkin baru, tetapi taktiknya sudah ada sejak zaman dahulu: penipuan, urgensi, pengalihan.
Orang datang ke kripto untuk penyimpanan sendiri dan sifat tanpa izin, tetapi pengguna perlu ingat bahwa di sini taruhannya lebih tinggi; dalam keuangan tradisional, Anda ditipu dan Anda menghubungi bank. Di kripto, Anda ditipu dan itu adalah akhir dari cerita.