FTX Mengkompensasi Pengguna Platform setelah Gelombang Serangan Phishing

Sam Bankman-Fried, pendiri FTX, mengumumkan di Twitter bahwa akan ada kompensasi sebesar $6 juta untuk pengguna yang cryptocurrency‑nya dicuri melalui serangan phishing terbaru. Sam juga menegaskan bahwa kompensasi tersebut hanya untuk akun FTX, dan akan menjadi penyelesaian “sekali saja”, tidak akan diulang pada insiden serupa di masa depan.

2022, Tahun Peretasan

Pengguna FTX baru‑baru ini menjadi target penyerang. Peretas memperoleh akses ke cryptocurrency pengguna dengan mengakses kunci API 3Commas pengguna dan melakukan perdagangan tidak sah. Sam Bankman‑Fried menggunakan Twitter untuk mengumumkan rencana kompensasi. Sam, dalam Tweet‑nya, juga mengusulkan perjanjian “standar 5‑5” di mana ia menyarankan bahwa peretas cryptocurrency dapat menyimpan baik $5 juta atau 5% dari total aset yang dicuri. CEO FTX mendesak para peretas untuk mengirim kembali sekitar $5,7 juta, yaitu sekitar 95% dari total aset yang dicuri, dalam waktu dua puluh empat jam ke alamat dompet yang terdaftar; CEO berjanji akan membebaskan peretas jika mereka mematuhi.

3Commas dalam sebuah released statement telah menyangkal bahwa pelanggaran berasal dari kebocoran kunci API pada salah satu sistemnya. “Tidak ada pelanggaran baik pada sistem keamanan akun maupun enkripsi API 3Commas, maupun pada sistem keamanan akun dan enkripsi API pertukaran mitra kami,” laporan tersebut menyatakan. 3Commas menunjukkan bahwa pelanggaran tersebut kemungkinan besar terkait dengan serangan phishing yang menjadi korban pengguna.
Peretasan telah menjadi hal umum di ruang cryptocurrency tahun lalu, dan peretas menjadi lebih canggih dalam metode dan teknik yang mereka gunakan untuk melancarkan serangan berbahaya. Telah terjadi insiden peretasan pada pertukaran cryptocurrency, protokol DeFi, jembatan lintas rantai, dan pengosongan pool likuiditas, antara lain. Dalam beberapa kasus, bug dalam kode kontrak pintar telah dieksploitasi, memberi penyerang akses ke jutaan dolar cryptocurrency. Pada tahun 2022 saja, beberapa insiden peretasan terkenal meliputi peretasan jembatan Ronin milik Axie Infinity di mana peretas mencuri lebih dari $600 juta Ethereum dan USDC, serangan jembatan Wormhole yang mengakibatkan kerugian $320 juta pada Februari, dan serangan terbaru pada jembatan Binance serta protokol Mango yang menghasilkan kerugian masing-masing lebih dari $600 juta dan $100 juta. Beberapa peretasan ini menargetkan pengguna secara langsung yang tanpa sadar menyerahkan kata sandi, kunci pribadi, frasa benih, dan kredensial penting lainnya kepada peretas.

Apa Itu Phishing dan Bagaimana Mengenali serta Menghindari Serangan Phishing

Phishing telah menjadi hal umum di Web2 dan telah dibawa ke Web3. Phishing adalah bentuk serangan rekayasa sosial di mana penyerang, berpura‑pura menjadi sumber yang sah, menipu pengguna untuk mengungkapkan informasi pribadi penting. Penyerang mengirim email yang tampak resmi dan membuat halaman login serta situs web tiruan untuk menipu pengguna yang tidak curiga agar melakukan tindakan seperti mengunduh perangkat lunak melalui tautan atau memasukkan kredensial ke situs web palsu yang dikloning. Situs web palsu ini sering memiliki nama domain yang mirip dengan situs asli. Phisher menggunakan metode dan teknik ini untuk mendapatkan kepercayaan korban dan membuat mereka menurunkan kewaspadaan.
Phisher kadang‑kadang menggunakan jaringan media sosial untuk mengumpulkan informasi pribadi dasar korban mereka. Dengan informasi pribadi ini, seorang phisher kemudian dapat merencanakan bagaimana melancarkan serangan phishing terhadap korban.

Jenis Serangan Phishing

Serangan phishing telah menjadi beragam dan canggih selama bertahun‑tahun, dengan setiap jenis serangan memiliki nama khusus. Berikut beberapa jenis serangan phishing yang paling umum.

• Email Phishing: Ini adalah jenis phishing yang paling umum. Nada email phishing biasanya mengandung ancaman, atau rasa urgensi untuk membuat pengguna cepat mengikuti instruksi dalam email tanpa memeriksa sumber email. Email phishing biasanya berisi tautan ke halaman login palsu atau tautan ke situs malware.

• Spear Phishing: Ini juga merupakan serangan phishing yang dilakukan dengan mengirim email phishing, namun dalam spear phishing penyerang sudah memiliki informasi awal seperti nama, jabatan, atau peran pekerjaan tentang korban.

• Angler Phishing: Serangan angler phishing terjadi ketika penyerang menggunakan akun media sosial palsu untuk meniru akun individu atau organisasi terkenal. Ini merajalela di crypto Twitter; akun “verified” palsu memposting tautan ke airdrop palsu, giveaway, dan skema “crypto‑doubling”. Phisher juga selalu aktif di media sosial dengan profil dukungan pelanggan palsu: mereka cepat menghubungi pelanggan yang secara publik meminta bantuan atau dukungan pelanggan dan menipu korban untuk mengungkapkan informasi sensitif.

• Whaling: Ini adalah serangan phishing yang ditargetkan pada manajemen senior sebuah organisasi. Dalam jenis serangan ini, penyerang secara elektronik mengirim tawaran atau proposal yang sangat dipersonalisasi dan terstruktur dengan baik kepada manajemen senior organisasi: dokumen tersebut berisi tautan berbahaya. Jika seorang anggota manajemen senior menjadi korban, hal itu dapat menyebabkan kompromi data rahasia organisasi.

Serangan Phishing Khusus Web3

Sebagai iterasi terbaru internet, Web3 tidak luput dari serangan phishing. Phisher telah menyusupi komunitas Web3 termasuk grup Telegram dan Discord dari proyek crypto serta “crypto Twitter”. Airdrop penipuan telah menjadi merajalela. Serangan phishing Web3 tipikal dimulai dengan penyerang memposting dan “shilling” airdrop penipuan atau promosi lainnya. Phisher ini bekerja seperti sindikat kejahatan terorganisir; mereka menggunakan berbagai akun untuk menyukai, membagikan, dan mengomentari posting airdrop penipuan untuk memberi kredibilitas pada airdrop dan memancing korban ke situs phishing. Ketika korban mengunjungi situs tersebut, yang biasanya merupakan klon dari proyek sah, situs phishing akan meminta pengguna memasukkan kunci pribadi atau frasa benih. Phisher mendapatkan kredensial tersebut dan dompet korban dikosongkan.
Serangan phishing umum lainnya di Web3 dan ruang cryptocurrency menambahkan tautan malware ke email atau Direct Message (DM). Pengguna yang tidak curiga mengklik tautan tersebut dan malware terpasang “diam‑diam” di perangkat pengguna. Malware terus memantau clipboard perangkat; ketika pengguna mencoba mengirim crypto dan menyalin serta menempelkan alamat dompet penerima, malware mengubah alamat dompet menjadi alamat dompet yang dikendalikan penyerang, sehingga cryptocurrency yang dikirim secara tidak sadar masuk ke dompet penyerang.

Cara Mengenali dan Menghindari Phishing

Email phishing selalu mengandung bentuk urgensi. Misalnya, email yang mengarahkan pengguna untuk memperbarui dompet crypto mereka atau akses ke dompet akan ditolak pada tengah malam. Ini adalah contoh klasik memaksa korban menyelesaikan proses sebelum mereka menyadari bahwa mereka sedang dipancing. 

Kesalahan tata bahasa sangat umum dalam kebanyakan pesan phishing. Nada email atau DM – misalnya, terlalu bersahabat dalam percakapan yang seharusnya formal – juga bisa menjadi tanda phishing.

Inkonstansi dalam URL web adalah salah satu karakteristik utama situs phishing. Pada situs phishing yang meniru situs sah, URL sering kali dipisahkan dengan tanda hubung. Misalnya, nama domain “metamask.io” menjadi “meta‑mask.io.” Dalam beberapa kasus, huruf “i” dan “l” diganti dengan angka “1”. Contohnya “binance.com” diubah menjadi “b1nance.com.” Perubahan halus pada nama URL ini dapat tidak terlihat oleh korban.

Ada langkah sederhana yang dapat diikuti agar tidak menjadi korban serangan phishing. Langkah tersebut meliputi: memeriksa kembali URL situs yang dikunjungi sebelum melakukan aktivitas apa pun di situs tersebut, memperhatikan petunjuk halus seperti nada komunikasi ketika Anda menerima email atau DM dari sumber yang tidak dikenal, dan tidak pernah memberikan informasi seperti kata sandi, kunci pribadi, atau frasa benih kepada siapa pun – bahkan tidak kepada personel dukungan pelanggan dari platform yang diklaim, serta menginstal alat keamanan yang diperlukan seperti Otentikasi Dua Faktor (2FA) pada semua aplikasi dan dompet yang didukung.