Ringkasan

• Sebagian besar pengguna kripto tidak diretas melalui eksploitasi yang kompleks, melainkan, mereka diretas dengan mengklik, menandatangani, atau mempercayai hal yang salah. Laporan ini menjelaskan bagaimana kegagalan sehari-hari tersebut terjadi.
• Dari kit phishing dan penguras dompet hingga malware dan penipuan dukungan palsu, sebagian besar serangan menargetkan pengguna secara langsung, bukan protokol, menjadikan konteks manusia sebagai benang merah yang umum, bukan kode.
• Laporan ini menguraikan 101 eksploitasi kripto yang berkaitan dengan pengguna individu, mencakup daftar eksploitasi umum, serta contoh nyata dan hal-hal yang perlu diwaspadai.

1. Yang Perlu Diketahui: Anda Adalah Permukaan Serangan

Kripto dirancang untuk menjadi self-custodial. Itu adalah fitur utamanya. Namun atribut dasar ini, yang menjadi inti dari nilai-nilai industri, sering kali dapat menjadikan Anda sebagai pengguna sebagai titik kegagalan tunggal. Dalam banyak kasus individu yang kehilangan dana mereka dalam kripto, itu bukanlah bug dalam protokol: itu adalah sebuah klik. Sebuah DM. Sebuah persetujuan. Sebuah momen kepercayaan atau kelalaian saat melakukan tugas sehari-hari yang tampaknya tidak berkonsekuensi yang dapat mengubah jalannya pengalaman kripto seseorang.

Laporan ini bukanlah whitepaper teknis atau ulasan tentang logika kontrak pintar, melainkan model ancaman bagi individu. Sebuah analisis tentang bagaimana pengguna dieksploitasi dalam praktik, dan apa yang harus dilakukan tentang hal itu. Laporan ini akan fokus pada eksploitasi tingkat pribadi: phishing, persetujuan dompet, rekayasa sosial, malware. Ini juga akan secara singkat membahas risiko tingkat protokol di akhir untuk memberikan gambaran tentang spektrum eksploitasi yang terjadi dalam kripto.

2. Panduan Lengkap Eksploitasi (Semacam)

Sifat permanen dan tidak dapat diubah dari transaksi yang terjadi dalam pengaturan tanpa izin, sering kali tanpa persetujuan dari perantara, digabungkan dengan fakta bahwa pengguna individu bertanggung jawab untuk berinteraksi dengan pihak ketiga yang anonim di perangkat dan browser yang sama yang menyimpan aset finansial, menjadikan kripto sebagai ladang pemburuan yang unik bagi peretas dan kriminal lainnya. Berikut adalah daftar luas tentang jenis eksploitasi yang dapat dihadapi individu, tetapi pembaca harus menyadari bahwa meskipun daftar ini mencakup sebagian besar eksploitasi, itu tidak lengkap. Daftar ini mungkin terasa berlebihan bagi mereka yang tidak akrab dengan kripto, tetapi sebagian besar dari ini adalah eksploitasi "biasa" yang telah terjadi cukup lama di era internet dan tidak unik untuk industri ini. §3 akan membahas beberapa metode eksploitasi kunci secara rinci.

2.1 Serangan Rekayasa Sosial

Serangan yang mengandalkan manipulasi psikologis untuk menipu individu agar mengorbankan keamanan mereka.

• Phishing: Email, pesan, atau situs palsu meniru platform asli untuk mencuri kredensial atau frasa biji (lebih lanjut di §3).
• Penipuan Peniruan: Penyerang berpura-pura menjadi influencer, pemimpin proyek, atau dukungan pelanggan untuk mendapatkan kepercayaan dan menarik dana atau informasi sensitif.
• Penipuan Frasa Benih: Pengguna ditipu untuk mengungkapkan frasa pemulihan melalui alat pemulihan palsu atau giveaway.
• Airdrop Palsu: Menggoda pengguna dengan token gratis untuk mendorong interaksi dompet yang tidak aman atau berbagi kunci pribadi.
• Penawaran Pekerjaan Palsu: Disamarkan sebagai peluang kerja tetapi bertujuan untuk menginstal malware atau mengumpulkan data sensitif.
• Skema Pump-and-Dump: Upaya terkoordinasi secara sosial untuk membesar-besarkan dan menjual token kepada peserta ritel yang tidak curiga.

Gambar 1: Konsekuensi dari rekayasa sosial bisa sangat parah
Sumber: Cointelegraph

2.2 Telekom & Pengambilalihan Akun

Mengeksploitasi infrastruktur telekomunikasi atau kelemahan tingkat akun untuk melewati otentikasi.

• SIM Swapping: Penyerang mengambil alih nomor ponsel korban untuk mencegat kode 2FA dan mereset kredensial akun (lebih lanjut di §3).
• Credential Stuffing: Menggunakan kredensial yang bocor dari pelanggaran untuk mengakses dompet atau akun pertukaran.
• 2FA Bypass: Mengeksploitasi otentikasi yang lemah atau berbasis SMS untuk mendapatkan akses yang tidak sah.
• Pencurian Sesi: Mencuri sesi browser melalui malware atau jaringan yang tidak aman untuk mengambil alih akun yang sudah masuk.

Gambar 2: Sebuah Tweet palsu dari SEC melalui SIM swap
Sumber: Twitter

2.3 Malware & Eksploitasi Perangkat

Mengompromikan perangkat pengguna untuk mengekstrak akses dompet atau mengubah transaksi (lebih lanjut di §3).

• Keylogger: Merekam ketukan tombol untuk mencuri kata sandi, PIN, dan frasa benih.
• Pencuri Clipboard: Ganti alamat dompet yang ditempel dengan alamat yang dikendalikan oleh penyerang.
• Remote Access Trojans (RATs): Memungkinkan penyerang memiliki kontrol penuh atas mesin korban, termasuk dompet.
• Ekstensi Browser Berbahaya: Ekstensi yang dikompromikan atau palsu mencuri data atau memanipulasi transaksi.
• Dompet atau Aplikasi Palsu: Aplikasi palsu (mobile atau browser) yang menguras dana saat digunakan.
• Serangan Man-in-the-Middle (MITM): Mengintersepsi dan memodifikasi komunikasi antara pengguna dan layanan, terutama di jaringan yang tidak aman.
• Serangan Wi-Fi Tanpa Keamanan: Wi-Fi publik atau yang telah dikompromikan memungkinkan intersepsi data sensitif selama login atau transfer.

Gambar 3: Dompet palsu adalah penipuan umum yang menargetkan pengguna kripto pemula
Sumber: cryptorank

2.4 Eksploitasi Tingkat Dompet

Serangan yang menargetkan cara pengguna mengelola atau berinteraksi dengan dompet dan antarmuka penandatanganan.

• Penyedotan Persetujuan: Kontrak pintar jahat mengeksploitasi persetujuan token sebelumnya untuk menguras token.
• Serangan Tanda Tangan Buta: Pengguna menandatangani payload yang tidak jelas yang mengakibatkan kehilangan dana (misalnya dari dompet perangkat keras).
• Pencurian Frasa Benih: Eksfiltrasi frasa pemulihan melalui malware, phishing, atau kebersihan penyimpanan yang buruk.
• Kunci Pribadi yang Terkompromi: Penyimpanan yang tidak aman (misalnya di penyimpanan awan atau catatan teks biasa) yang mengarah pada kebocoran kunci.
• Dompet Donasi yang Terkompromi: Perangkat yang dimanipulasi atau palsu membocorkan kunci privat kepada penyerang.

2.5 Risiko Kontrak Cerdas & Tingkat Protokol

Risiko yang berasal dari interaksi dengan kode on-chain yang berbahaya atau rentan.

• Kontrak Pintar Nakal: Logika jahat tersembunyi yang menguras dana saat berinteraksi.
• Serangan Pinjaman Kilat: Eksploitasi yang menggunakan pinjaman tanpa jaminan untuk memanipulasi harga atau logika protokol.
• Manipulasi Oracle: Penyerang memanipulasi umpan harga untuk mengeksploitasi protokol yang bergantung pada data yang salah.
• Skema Likuiditas Keluar: Pembuat merancang token/kumpulan di mana hanya mereka yang dapat menarik nilai, meninggalkan pengguna terjebak.
• Serangan Sybil: Identitas palsu mendistorsi sistem desentralisasi, terutama dalam hal pemerintahan atau kelayakan airdrop.

Gambar 4: Sebuah pinjaman kilat bertanggung jawab atas salah satu eksploitasi terbesar DeFi
Sumber: Elliptic

2.6. Penipuan Manipulasi Proyek & Pasar

Penipuan yang terkait dengan struktur token, proyek DeFi, atau koleksi NFT.

• Rug Pulls: Pendiri proyek menghilang setelah mengumpulkan modal, meninggalkan token yang tidak berharga.
• Proyek Palsu: Koleksi bodong menjebak pengguna untuk mencetak penipuan atau menandatangani transaksi berbahaya.
  Serangan Debu: Transfer token kecil yang digunakan untuk mendekanonisasi dompet dan mengidentifikasi target untuk phishing atau penipuan.

2.7. Serangan Web & Infrastruktur

Mengeksploitasi infrastruktur tingkat depan atau DNS yang diandalkan pengguna.

• Peretasan Front-End / Pemalsuan DNS: Penyerang mengalihkan pengguna ke antarmuka berbahaya untuk mencuri kredensial atau mendorong transaksi yang tidak aman.
• Eksploitasi Jembatan: Peretasan jembatan lintas rantai yang mengompromikan dana pengguna selama transfer.

2.8. Ancaman Fisik

Risiko dunia nyata yang melibatkan pemaksaan, pencurian, atau pengawasan.

• Serangan Kunci Pas $5: Korban secara fisik dipaksa untuk mentransfer dana atau mengungkapkan frasa benih.
• Pencurian Fisik: Perangkat atau cadangan (misalnya dompet perangkat keras, buku catatan) dicuri untuk mendapatkan akses.
• Shoulder Surfing: Mengamati atau merekam pengguna yang memasukkan data sensitif di tempat umum atau pribadi.

Gambar 5: Sayangnya, ancaman fisik telah menjadi hal yang umum
Sumber: The New York Times

3. Eksploitasi Kunci yang Harus Diwaspadai

Beberapa eksploitasi terjadi lebih sering daripada yang lain. Berikut adalah tiga eksploitasi yang harus diketahui oleh individu yang memegang atau berinteraksi dengan kripto, termasuk cara mencegahnya. Sebuah agregasi teknik pencegahan dan atribut kunci yang harus diperhatikan akan dicantumkan di akhir bagian ini karena terdapat tumpang tindih di antara berbagai metode eksploitasi.

3.1 Phishing (Termasuk Dompet Palsu & Airdrop)

Phishing sudah ada sebelum kripto selama beberapa dekade dan istilah ini muncul pada 1990-an untuk menggambarkan penyerang yang “memancing” informasi sensitif, biasanya kredensial login, melalui email dan situs web palsu. Ketika kripto muncul sebagai sistem keuangan paralel, phishing secara alami berkembang untuk menargetkan frasa benih, kunci pribadi, dan otorisasi dompet yaitu, ekuivalen kripto dari “kontrol penuh.”

Phishing kripto sangat berbahaya karena tidak ada jalan keluar: tidak ada pengembalian, tidak ada perlindungan penipuan, dan tidak ada dukungan pelanggan yang dapat membalikkan transaksi. Begitu kunci Anda dicuri, dana Anda seolah-olah hilang. Penting juga untuk diingat bahwa phishing terkadang hanyalah langkah pertama dalam eksploitasi yang lebih luas, membuat risiko nyata bukanlah kehilangan awal, tetapi rangkaian kompromi yang mengikuti, misalnya, kredensial yang dikompromikan dapat memungkinkan penyerang untuk menyamar sebagai korban dan menipu orang lain.

Bagaimana cara kerja phishing?

Pada intinya, phishing mengeksploitasi kepercayaan manusia dengan menyajikan versi palsu dari antarmuka yang tepercaya, atau dengan menyamar sebagai seseorang yang berwenang, untuk menipu pengguna agar secara sukarela menyerahkan informasi sensitif atau menyetujui tindakan jahat. Ada beberapa vektor pengiriman utama:

• Situs Web Phishing
  • Versi palsu dari dompet (misalnya, MetaMask, Phantom), bursa (misalnya, Binance), atau dApps.
  • Sering dipromosikan melalui iklan Google atau dibagikan melalui grup Discord/Twitter, dirancang agar terlihat identik pixel demi pixel dengan situs yang asli.
  • Pengguna mungkin diminta untuk "mengimpor dompet" atau "memulihkan dana", dengan mengambil frasa benih atau kunci pribadi mereka.
• Email & Pesan Phishing
  • Tampak seperti komunikasi resmi (misalnya, "pembaruan keamanan mendesak" atau "akun terkompromi").
  • Sertakan tautan ke portal login palsu atau mengarahkan Anda untuk berinteraksi dengan token atau kontrak pintar berbahaya.
  • Umum di Telegram, Discord, DM Twitter, dan bahkan SMS.
• Dompet Palsu atau Ekstensi Browser
  • Tersedia di toko aplikasi atau sebagai ekstensi Chrome.
  • Secara fungsional meniru dompet asli, tetapi meneruskan kunci pribadi atau data transaksi Anda kepada penyerang.
  • Beberapa bahkan memungkinkan Anda mentransfer dana hanya untuk dikuras beberapa menit kemudian.
• Penipuan Airdrop
  • Pengiriman token palsu yang dikirim ke dompet (terutama di jaringan EVM).
  • Mengklik token atau mencoba untuk memperdagangkannya memicu interaksi kontrak jahat.
  • Dapat secara diam-diam meminta persetujuan token yang tidak terbatas atau mencuri token asli Anda melalui payload yang ditandatangani.

Gambar 6: Selalu berhati-hati ketika Anda melihat "gratis" dalam kripto
Sumber: Presto Research

Contoh phishing
Peretasan Atomic Wallet pada Juni 2023, yang dikaitkan dengan Grup Lazarus dari Korea Utara, merupakan salah satu serangan phishing murni yang paling merusak dalam sejarah kripto. Ini mengakibatkan pencurian lebih dari $100 juta dalam kripto dengan mengkompromikan lebih dari 5.500 dompet non-kustodial tanpa memerlukan pengguna untuk menandatangani transaksi jahat atau berinteraksi dengan kontrak pintar. Serangan ini berfokus secara eksklusif pada ekstraksi frasa benih dan kunci pribadi melalui antarmuka yang menipu dan malware - contoh klasik dari pencurian kredensial berbasis phishing.
Atomic Wallet adalah dompet multi-chain non-kustodian yang mendukung lebih dari 500 kripto. Dalam insiden ini, penyerang melancarkan kampanye phishing terkoordinasi yang mengeksploitasi kepercayaan pengguna terhadap infrastruktur dukungan dompet, proses pembaruan, dan identitas merek. Korban dijebak melalui email, situs web palsu, dan pembaruan perangkat lunak yang telah terinfeksi trojan, semuanya dirancang untuk meniru komunikasi yang sah dari Atomic Wallet.

Vektor phishing yang termasuk:

• Email palsu yang menyamar sebagai dukungan atau peringatan keamanan Atomic Wallet, mendesak tindakan segera.
• Situs web yang dipalsukan (misalnya, atomic-wallet[.]co) yang meniru antarmuka pemulihan dompet atau klaim hadiah.
• Pembaruan jahat yang disebarkan melalui Discord, email, dan forum yang dikompromikan, yang baik mengarahkan pengguna ke halaman phishing atau mengekstrak kredensial melalui malware lokal.

Setelah pengguna memasukkan frasa biji 12 atau 24 kata mereka atau kunci pribadi ke dalam antarmuka penipuan ini, penyerang mendapatkan akses penuh ke dompet mereka. Eksploitasi ini tidak melibatkan interaksi on-chain dari korban: tidak ada koneksi dompet, tidak ada permintaan tanda tangan, dan tidak ada keterlibatan kontrak pintar. Sebaliknya, itu sepenuhnya bergantung pada rekayasa sosial dan kesediaan pengguna untuk memulihkan atau memverifikasi dompet mereka di platform yang tampaknya tepercaya.

3.2 Penyedot Dompet & Persetujuan Berbahaya

Penguras dompet adalah jenis kontrak pintar atau dApp jahat yang dirancang untuk mengekstrak aset dari dompet Anda, bukan dengan mencuri kunci pribadi Anda, tetapi dengan menipu Anda untuk memberikan akses token atau menandatangani transaksi berbahaya. Tidak seperti phishing, yang mencari kredensial Anda, penguras memanfaatkan izin - mekanisme dasar kepercayaan yang mendasari Web3.

Seiring dengan DeFi dan aplikasi Web3 menjadi arus utama, dompet seperti MetaMask dan Phantom mempopulerkan gagasan "menghubungkan" ke dApps. Ini membawa kenyamanan tetapi juga permukaan serangan yang besar. Dari tahun 2021–2023, drainase persetujuan meledak dalam popularitas melalui pencetakan NFT, airdrop palsu, dan dApps yang mengalami rug-pull mulai menyisipkan kontrak jahat ke dalam antarmuka yang biasanya familiar. Pengguna, sering kali bersemangat atau teralihkan, akan menghubungkan dompet mereka dan mengklik "Setujui" tanpa menyadari apa yang mereka berikan izin.

Apa bedanya ini dengan phishing?
Phishing melibatkan penipuan seseorang untuk secara sukarela mengungkapkan kredensial sensitif, seperti frasa benih, kata sandi, atau kunci pribadi. Menghubungkan dompet Anda tidak mengungkapkan kunci atau frasa Anda karena Anda tidak menyerahkan rahasia, Anda menandatangani transaksi atau memberikan izin. Eksploitasi ini terjadi melalui logika kontrak pintar, bukan pencurian kredensial Anda, menjadikannya secara mekanis berbeda dari phishing. Anda memberi otorisasi untuk pengurasan, seringkali tanpa menyadarinya, yang lebih mirip dengan "jebakan persetujuan" daripada pencurian kredensial.
Anda dapat menganggap phishing sebagai berbasis KREDENSIAL dan penguras dompet / persetujuan jahat sebagai berbasis PERMISSION.

Mekanisme serangan
Persetujuan jahat mengeksploitasi sistem izin dalam standar blockchain seperti ERC-20 (token) dan ERC-721/ERC-1155 (NFT). Mereka menipu pengguna untuk memberikan akses berkelanjutan kepada penyerang terhadap aset mereka.

• Dasar-dasar persetujuan token:
  • Token ERC-20: Fungsi approve(address spender, uint256 amount) memungkinkan "spender" (misalnya, DApp atau penyerang) untuk mentransfer jumlah token tertentu dari dompet pengguna.
  • NFTs: Fungsi setApprovalForAll(address operator, bool approved) memberikan izin kepada "operator" untuk mentransfer semua NFTs dalam sebuah koleksi.
  • Persetujuan ini adalah standar untuk DApps (misalnya, Uniswap memerlukan persetujuan untuk menukar token), tetapi penyerang mengeksploitasinya secara jahat.
• Bagaimana penyerang mendapatkan persetujuan:
  • Prompt menipu: Situs phishing atau DApp yang dikompromikan meminta pengguna untuk menandatangani transaksi yang diberi label sebagai "koneksi dompet," "pertukaran token," atau "klaim NFT." Transaksi ini sebenarnya memanggil approve atau setApprovalForAll untuk alamat penyerang.
  • Persetujuan tak terbatas: Penyerang sering meminta batas token tak terbatas (misalnya, uint256.max) atau setApprovalForAll(true), memberikan mereka kendali penuh atas token atau NFT pengguna.
  • Tanda Tangan Buta: Beberapa DApps memerlukan tanda tangan data yang tidak jelas, sehingga sulit untuk mendeteksi persetujuan yang berbahaya. Bahkan dengan dompet perangkat keras seperti Ledger, rincian yang ditampilkan mungkin terlihat tidak berbahaya (misalnya, "Setujui Token") tetapi menyembunyikan niat penyerang.
• Eksploitasi:
  • Pencurian segera: Penyerang menggunakan persetujuan untuk mentransfer token/NFT ke dompet mereka segera setelah transaksi.
  • Pencurian tertunda: Penyerang menunggu (kadang-kadang selama minggu atau bulan) untuk menguras aset, mengurangi kecurigaan. Misalnya, penyerang dengan setApprovalForAll dapat mentransfer NFT kapan saja mereka mau.
  • Serangan menyapu: Drainer seperti Angel Drainer memindai persetujuan di berbagai dompet dan mengurasnya secara massal selama lonjakan pasar atau penjualan NFT bernilai tinggi.

Contoh penguras dompet / persetujuan jahat
Skema Monkey Drainer, yang aktif terutama pada tahun 2022 dan awal 2023, adalah toolkit phishing "drainer-as-a-service" yang terkenal yang bertanggung jawab atas pencurian jutaan dalam kripto (termasuk NFT) melalui situs web yang menipu dan kontrak pintar berbahaya. Berbeda dengan phishing tradisional, yang bergantung pada pengumpulan frase benih atau kata sandi pengguna, Monkey Drainer beroperasi melalui tanda tangan transaksi berbahaya dan penyalahgunaan kontrak pintar, memungkinkan penyerang untuk mengekstrak token dan NFT tanpa kompromi kredensial langsung. Dengan menipu pengguna untuk menandatangani persetujuan on-chain yang berbahaya, Monkey Drainer memungkinkan pencurian lebih dari $4,3 juta di ratusan dompet sebelum ditutup pada awal 2023.

Gambar 7: Detektif on-chain terkenal ZachXBT mengungkap penipuan Monkey Drainer
Sumber: Twitter (@zachxbt)

Kit ini populer di kalangan penyerang dengan keterampilan rendah dan dipasarkan secara besar-besaran di komunitas Telegram bawah tanah dan dark web. Ini memungkinkan afiliasi untuk mengkloning situs mint palsu, menyamar sebagai proyek nyata, dan mengonfigurasi backend untuk meneruskan transaksi yang ditandatangani ke kontrak pengurasan terpusat. Kontrak-kontrak ini dirancang untuk mengeksploitasi izin token, mengandalkan pengguna untuk tanpa sadar menandatangani pesan yang memberikan alamat penyerang akses ke aset melalui fungsi seperti setApprovalForAll() (NFT) atau permit() (token ERC-20).

Perlu dicatat bahwa alur interaksi menghindari phishing langsung: korban tidak diminta untuk memberikan kunci pribadi atau frasa awal mereka. Sebaliknya, mereka berinteraksi dengan dApps yang tampak sah, sering kali di halaman pencetakan dengan hitungan mundur atau merek yang dipromosikan. Setelah terhubung, pengguna akan diminta untuk menandatangani transaksi yang tidak mereka pahami sepenuhnya, sering kali disamarkan dengan bahasa persetujuan umum atau kebingungan UI dompet. Tanda tangan ini tidak mentransfer dana secara langsung, tetapi memberi wewenang kepada penyerang untuk melakukannya kapan saja. Dengan izin yang diberikan, kontrak drainer dapat mengeksekusi penarikan batch dalam satu blok.

Ciri khas dari metode Monkey Drainer adalah eksekusi yang tertunda: aset yang dicuri sering kali diambil beberapa jam atau hari kemudian, untuk menghindari kecurigaan dan memaksimalkan hasil. Ini membuatnya sangat efektif terhadap pengguna dengan dompet besar atau aktivitas perdagangan aktif, yang persetujuannya menyatu dengan pola penggunaan normal. Korban terkenal termasuk kolektor NFT yang kehilangan aset dari proyek seperti CloneX, Bored Apes, dan Azuki.

Meskipun Monkey Drainer menghentikan operasinya pada tahun 2023, diduga untuk "bersembunyi", era penguras dompet terus berkembang, menimbulkan ancaman yang terus-menerus bagi pengguna yang salah paham atau meremehkan kekuatan persetujuan on-chain.

3.3 Malware & Eksploitasi Perangkat

Akhirnya, 'malware dan eksploitasi perangkat' merujuk pada berbagai serangan yang luas dan serbaguna yang mencakup berbagai vektor pengiriman yang semuanya bertujuan untuk mengkompromikan komputer, telepon, atau browser pengguna, biasanya melalui perangkat lunak berbahaya yang diinstal melalui penipuan. Tujuannya biasanya adalah untuk mencuri informasi sensitif (misalnya frasa benih, kunci pribadi), mencegat interaksi dompet, atau memberikan kontrol jarak jauh kepada penyerang atas perangkat korban. Dalam kripto, serangan ini sering dimulai dengan rekayasa sosial, seperti tawaran pekerjaan palsu, pembaruan aplikasi palsu, atau file yang dikirim melalui Discord, tetapi dengan cepat meningkat menjadi kompromi sistem secara penuh.

Malware telah ada sejak awal komputer pribadi. Dalam konteks tradisional, itu digunakan untuk mencuri informasi kartu kredit, mengumpulkan login, atau membajak sistem untuk spam atau ransomware. Ketika kripto mendapatkan perhatian, penyerang beralih: alih-alih menargetkan kredensial untuk perbankan online (yang dapat dibalik), mereka sekarang bertujuan untuk mencuri aset kripto yang tidak dapat dibalik.

Bagaimana Serangan Ini Dimulai… Sudut Pandang Rekayasa Sosial

Sebagian besar malware tidak menyebar secara acak: itu memerlukan korban untuk tertipu agar mengeksekusinya. Di sinilah rekayasa sosial berperan.

Metode Pengiriman Umum:

• Penawaran Pekerjaan Palsu: Korban melamar pekerjaan Web3 palsu, menerima "tes teknis" atau "tautan wawancara" yang mengandung malware.
• Tautan Discord atau Telegram: Dikirim sebagai "alat giveaway", "tangkapan layar", atau file dukungan palsu.
• Lampiran Email: Resume, whitepaper, atau format faktur (PDF, .docx, .exe) yang mengandung kode berbahaya.
• Pembaruan Palsu: Pop-up atau situs palsu yang menawarkan "versi terbaru MetaMask/Phantom".
• Unduhan Drive-by: Cukup mengunjungi situs dapat memicu muatan latar belakang, terutama di browser yang usang.

Jalur umum: Penyerang menciptakan konteks yang dapat dipercaya yang meyakinkan pengguna untuk mengklik, mengunduh, atau membuka sesuatu yang berbahaya.

Jenis Malware Umum dalam Eksploitasi Kripto

• Keylogger: Merekam setiap ketikan yang diketik, termasuk frasa benih, kata sandi, dan PIN. Sangat berbahaya jika pengguna mengetik frasa benih mereka ke dalam editor teks, login bursa, atau bidang pemulihan dompet.
• Pencuri Clipboard: Memantau alamat dompet yang disalin dan menggantinya dengan alamat penyerang saat ditempel. Korban sering kali tidak menyadari dan mereka mengirimkan dana, berpikir mereka telah menempelkan alamat mereka sendiri, tetapi itu sudah diganti.
• Trojan Akses Jarak Jauh (RATs): Memberikan penyerang kontrol penuh atas perangkat korban. Ini termasuk membaca file, melihat layar, menangkap sesi browser, dan bahkan mengekspor frase benih langsung dari aplikasi dompet seperti Exodus atau dompet berbasis browser.
• Dompet atau Aplikasi Palsu: Terlihat seperti dompet yang sah tetapi sudah dimuat sebelumnya dengan kode berbahaya. Umum di situs APK Android atau toko ekstensi Chrome. Beberapa tampak fungsional sampai Anda mengirim dana atau memulihkan seed, pada saat itu dana akan diekstraksi.
• Ekstensi Browser Berbahaya: Mengkompromikan atau meniru ekstensi kripto yang sebenarnya untuk memantau aktivitas, menyuntikkan muatan berbahaya, atau memunculkan permintaan penandatanganan palsu. Mereka sering meminta izin yang luas dengan dalih "integrasi dompet".
• Infrastruktur Man-in-the-Middle (MITM): Malware mengatur proxy atau pembajakan DNS untuk mencegat dan memanipulasi lalu lintas antara Anda dan web, termasuk menukar alamat atau mengalihkan transaksi yang ditandatangani.

Contoh: Penipuan Pekerjaan Axie Infinity 2022

Skema pekerjaan Axie Infinity pada tahun 2022, yang mengarah pada peretasan besar Ronin Bridge, adalah contoh utama dari malware dan eksploitasi perangkat di ruang kripto, yang didorong oleh rekayasa sosial yang canggih. Serangan ini, yang dikaitkan dengan kelompok Lazarus yang didukung negara Korea Utara, mengakibatkan pencurian sekitar $620 juta dalam cryptocurrency, menjadikannya salah satu peretasan keuangan terdesentralisasi (DeFi) terbesar hingga saat ini.

Gambar 8: Eksploitasi Axie Infinity berhasil masuk ke media TradFi
Sumber: Bloomberg TV

Peretasan tersebut adalah operasi multi-tahap yang menggabungkan rekayasa sosial, penyebaran malware, dan eksploitasi kerentanan infrastruktur blockchain.

Para hacker yang menyamar sebagai perekrut dari perusahaan fiktif, menargetkan karyawan Sky Mavis melalui LinkedIn: Sky Mavis adalah perusahaan di balik Jaringan Ronin, sebuah sidechain yang terhubung dengan Ethereum yang mendukung Axie Infinity, sebuah permainan blockchain play-to-earn yang populer. Pada saat itu, Ronin dan Axie Infinity memiliki kapitalisasi pasar masing-masing sekitar $300 juta dan $4 miliar.

Beberapa karyawan dihubungi, tetapi seorang insinyur senior menjadi target utama yang dijadikan sasaran oleh para penyerang dengan melakukan beberapa putaran wawancara kerja palsu untuk membangun kepercayaan, menawarkan paket kompensasi yang sangat menggiurkan untuk menarik insinyur tersebut. Para penyerang mengirimkan dokumen PDF yang menyamar sebagai tawaran pekerjaan resmi kepada insinyur tersebut. Insinyur tersebut, yang percaya bahwa itu adalah bagian dari proses perekrutan, mengunduh dan membuka file di komputer perusahaan. PDF tersebut berisi RAT yang menginfeksi sistem insinyur saat dibuka, memberikan akses kepada peretas ke sistem internal Sky Mavis, kemungkinan melalui eskalasi hak istimewa atau pergerakan lateral dalam jaringan. Kompromi ini memberikan pijakan untuk menargetkan infrastruktur Jaringan Ronin.

Mekanisme peretasan yang terus mengeksploitasi jembatan Ronin dan Axie DAO berada di luar ruang lingkup artikel penelitian ini, namun, eksploitasi ini mengakibatkan pencurian senilai $620 juta (173.600 ETH dan 25,5 juta USDC) dengan hanya $30 juta yang berhasil dipulihkan.

4. Cara Melindungi Diri Anda

Upaya eksploitasi semakin canggih, tetapi masih bergantung pada tanda-tanda yang mencolok. Bendera merah meliputi:

• “Impor dompet Anda untuk mengklaim X”: Tidak ada layanan yang sah yang akan meminta frasa benih Anda.
• DM yang tidak diminta: Terutama yang menawarkan dukungan, uang, atau bantuan dengan masalah yang tidak Anda tanyakan.
• Domain yang sedikit salah eja: Misalnya, metamask.io vs metarnask.io.
• Iklan Google: Tautan phishing sering muncul di atas tautan yang sebenarnya dalam hasil pencarian.
• Tawaran yang terlalu bagus untuk menjadi kenyataan: Seperti "klaim 5 ETH" atau promosi "gandakan koin Anda".
• Urgensi atau taktik menakut-nakuti: "Akun Anda telah dikunci", "Klaim sekarang atau kehilangan dana".
• Persetujuan Token Tak Terbatas: Pengguna harus menetapkan jumlah token sendiri.
• Permintaan Tanda Tangan Buta: Muatan Hex tanpa penjelasan yang dapat dibaca.
• Kontrak yang tidak terverifikasi atau tidak jelas: Jika token atau dApp baru, periksa apa yang Anda setujui.
• Peringatan UI Mendesak: Taktik tekanan klasik seperti "Anda harus menandatangani ini sekarang atau kehilangan kesempatan."
• Pop-up Tanda Tangan MetaMask: Terutama dengan muatan yang tidak jelas, transaksi tanpa gas, atau campuran panggilan fungsi yang tidak Anda pahami.

Aturan OpSec (keamanan operasional) lebih lanjut:

• Aturan Emas
  • Jangan pernah berbagi frase benih Anda, dengan siapa pun, untuk alasan apa pun.
  • Tandai situs resmi: Selalu naviGate langsung. Jangan pernah menggunakan mesin pencari untuk dompet atau bursa.
  • Jangan klik token airdrop acak: Terutama jika Anda tidak mendaftar.
  • Hindari DM yang tidak diminta: Proyek yang sah JARANG DM pertama... (Kecuali ketika mereka melakukannya)
  • Gunakan dompet perangkat keras: Mereka mengurangi risiko tanda tangan buta dan mencegah paparan kunci.
  • Aktifkan alat perlindungan phishing: Gunakan ekstensi seperti PhishFort, Revoke.cash, dan pemblokir iklan.
  • Gunakan penjelajah hanya-baca: Alat seperti Etherscan Token Approvals atau Revoke.cash menunjukkan izin apa yang dimiliki dompet Anda.
  • Gunakan dompet burner: Buat dompet baru dengan dana nol~sedikit untuk menguji mint atau tautan terlebih dahulu. Ini akan meminimalkan kerugian.
  • Segmentasikan aset Anda: Jangan menyimpan semua aset Anda di satu lokasi.
• Praktik Lanjutan Untuk Pengguna Kripto Berpengalaman
  • Gunakan perangkat atau profil browser khusus untuk aktivitas kripto - tambahan, Anda dapat memiliki perangkat khusus untuk membuka tautan dan DM.
  • Periksa label peringatan token Etherscan: Banyak token penipuan yang diberi tanda.
  • Periksa silang alamat kontrak dengan pengumuman proyek resmi.
  • Periksa URL dengan cermat: Terutama di email dan obrolan, kesalahan ejaan yang halus adalah hal yang umum. Banyak aplikasi pesan dan tentu saja situs web memungkinkan hyperlinking - ini memungkinkan seseorang untuk melakukan ini:www.google.com(tidak apa-apa, Anda bisa mengklik tautan).
  • Perhatikan apa yang Anda tandatangani: Selalu dekode transaksi (misalnya melalui MetaMask, Rabby, atau simulator) sebelum mengonfirmasi.

5. Kata Akhir

Sebagian besar pengguna menganggap eksploitasi dalam kripto sebagai sesuatu yang teknis dan tidak dapat dihindari, terutama bagi mereka yang baru di industri ini. Meskipun hal itu mungkin benar untuk metode serangan yang kompleks, seringkali langkah awal menargetkan individu dengan cara non-teknis, sehingga sisa eksploitasi dapat dicegah.

Sebagian besar kerugian pribadi di ruang ini tidak berasal dari bug protokol yang tidak biasa atau zero-day yang baru, melainkan dari orang-orang yang menandatangani hal-hal yang tidak mereka baca atau mengimpor dompet ke aplikasi palsu, atau mempercayai DM yang terasa cukup masuk akal. Alat-alatnya mungkin baru, tetapi taktiknya sudah ada sejak zaman dahulu: penipuan, urgensi, pengalihan.

Orang datang ke kripto untuk penyimpanan sendiri dan sifat tanpa izin, tetapi pengguna perlu ingat bahwa di sini taruhannya lebih tinggi; dalam keuangan tradisional, Anda ditipu dan Anda menghubungi bank. Di kripto, Anda ditipu dan itu adalah akhir dari cerita.

Pernyataan Penafian：

1. Artikel ini dicetak ulang dari [Presto Research]. Semua hak cipta milik penulis asli [Presto Research]. Jika ada keberatan terhadap cetakan ulang ini, harap hubungi Gate Learn tim, dan mereka akan menanganinya dengan cepat.
2. Penyangkalan Tanggung Jawab: Pandangan dan opini yang diungkapkan dalam artikel ini sepenuhnya merupakan milik penulis dan tidak dianggap sebagai saran investasi.
3. Terjemahan artikel ke dalam bahasa lain dilakukan oleh tim Gate Learn. Kecuali disebutkan, menyalin, mendistribusikan, atau menjiplak artikel yang diterjemahkan adalah dilarang.