$10 Jutaan Pencurian Kripto yang Dialihkan ke Tornado Cash Mengungkap Kerentanan Keamanan Kritis

Seorang "whale" cryptocurrency yang menjadi korban serangan phishing canggih tahun lalu telah melihat $10 juta nilai Ether yang dicuri dipindahkan ke layanan pencampuran cryptocurrency Tornado Cash, menyoroti ancaman keamanan yang terus-menerus dalam ekosistem aset digital.

Pergerakan Dana Utama dari Peretasan September

Pada 21 Maret, perusahaan keamanan blockchain CertiK mengidentifikasi aktivitas mencurigakan di mana sebuah akun yang terhubung dengan insiden phishing September 2023 mentransfer 3.700 ETH ( sekitar $10 juta ) ke Tornado Cash. Transfer ini mewakili sebagian besar dari $24 juta aset yang dicuri selama serangan asli pada 6 September 2023.

Korban, seorang paus cryptocurrency, kehilangan kepemilikan substansial dalam ETH yang dipertaruhkan melalui layanan staking likuiditas Rocket Pool. Serangan yang canggih terjadi dalam dua fase yang berbeda:

• Fase pertama: Penghapusan 9.579 stETH
• Tahap kedua: Pencurian 4,851 rETH

Rincian Teknis dari Eksploitasi

Proyek keamanan Scam Sniffer mengungkapkan kerentanan teknis yang memungkinkan serangan tersebut: korban telah mengizinkan transaksi "Tingkatkan Izin", yang terbukti bencana. Fungsi kontrak pintar spesifik ini memungkinkan pihak ketiga untuk menghabiskan aset digital ERC-20 milik orang lain—dengan persetujuan.

Bagaimana Serangan Itu Bekerja:

1. Korban mengotorisasi transaksi "Tingkatkan Tunjangan"
2. Penyerang mendapatkan hak persetujuan untuk token korban
3. Fungsionalitas kontrak pintar dieksploitasi untuk mentransfer token
4. Aset diubah untuk memaksimalkan anonimitas

Kebocoran keamanan telah memicu diskusi intens di seluruh komunitas cryptocurrency mengenai risiko inheren dari persetujuan token, terutama saat berinteraksi dengan kontrak pintar yang berpotensi jahat.

Konversi Aset dan Jalur Pencucian

Perusahaan intelijen blockchain PeckShield melacak tindakan selanjutnya dari penyerang, mendokumentasikan bagaimana aset yang dicuri secara sistematis diubah menjadi:

• 13,785 Ether
• 1,64 juta aset digital Dai stablecoin

Setelah konversi, sebagian DAI dialokasikan ke bursa FixedFload, sementara sisa dana yang dicuri didistribusikan ke beberapa alamat dompet untuk mengaburkan asal-usulnya sebelum transfer Tornado Cash terbaru.

Tren Pertumbuhan Eksploitasi Persetujuan

Insiden ini merupakan bagian dari pola yang mengkhawatirkan dalam pelanggaran keamanan cryptocurrency. Hanya pada bulan Februari, hampir $47 juta hilang akibat penipuan terkait phishing menurut laporan Scam Sniffer, dengan:

• 78% dari pencurian yang terjadi di jaringan Ethereum
• Token ERC-20 yang menyumbang 86% dari semua dana yang dicuri

Kerentanan persetujuan token terus menyebabkan kerugian yang signifikan. Hanya satu hari sebelum transfer $10 juta ini diidentifikasi, kontrak yang usang yang sebelumnya digunakan oleh bursa Dolomite dieksploitasi, menguras $1,8 juta dari pengguna yang telah memberikan izin kepada kontrak tersebut. Pengembang Dolomite kemudian mendesak pengguna untuk mencabut semua izin kepada alamat kontrak yang terkompromi.

Respons Cepat Mencegah Kerugian Lebih Lanjut

Meskipun banyak serangan mengakibatkan kerugian yang substansial, respons keamanan yang cepat dapat mengurangi kerusakan. Pada 20 Maret, tim Layerswap berhasil mencegah eksploitasi lebih lanjut setelah situs web mereka disusupi, berkat intervensi cepat dari penyedia domain mereka. Meskipun tindakan cepat mereka, penyerang masih berhasil mencuri sekitar $100,000 dari sekitar 50 pengguna. Layerswap telah berkomitmen untuk mengembalikan dana kepada pengguna yang terdampak dan memberikan kompensasi tambahan untuk ketidaknyamanan yang ditimbulkan.

Insiden yang berulang ini menekankan pentingnya kewaspadaan keamanan dalam transaksi cryptocurrency. Eksploitasi fungsi persetujuan token dan kerentanan kontrak pintar menunjukkan perlunya peningkatan edukasi pengguna dan verifikasi yang hati-hati terhadap semua interaksi kontrak untuk mencegah kehilangan aset yang tidak perlu dalam lingkungan ancaman yang semakin canggih.