$24M Serangan Phishing: Bagaimana Hacker Menggunakan Persetujuan Token Sebagai Senjata

Seorang paus cryptocurrency mengalami kerugian pada September 2023—dan para peretas baru saja menarik uangnya. $10 juta ETH yang dicuri mendarat di Tornado Cash pada 21 Maret, berkat serangan phishing yang berhasil mencuri total $24 juta.

Berikut adalah buku panduan:

Fase 1: Perangkap Rekayasa Sosial Korban mengizinkan transaksi “Tingkatkan Izin”. Terdengar tidak bersalah, bukan? Salah. Satu langkah ini memberi penyerang izin untuk menghabiskan token ERC-20 langsung dari dompet korban menggunakan kontrak pintar. Langkah klasik—korban tidak pernah menyadarinya.

Fase 2: Ekstraksi

• Menguras 9.579 stETH (Staking Rocket Pool)
• Mengambil 4,851 rETH
• Dikonversi menjadi 13,785 ETH + 1.64M DAI
• Dialirkan melalui mixer dan dompet sekunder

Mengapa Ini Penting

Ini bukan kasus tepi. Data Scam Sniffer menunjukkan $47 juta hilang karena phishing hanya di bulan Februari—78% di Ethereum, dengan token ERC-20 yang paling parah terkena (86% dari semua dana yang dicuri ).

Yang mengejutkan? Persetujuan token menjadi vektor serangan baru. Seminggu sebelumnya, sebuah kontrak Dolomite lama dieksploitasi untuk menguras $1,8 juta. Cerita yang sama: pengguna telah memberikan persetujuan, penyerang hanya mengeksekusi.

Pola

Serangan ini memanfaatkan satu kelemahan: pengguna tidak memahami apa yang mereka tanda tangani. Anda menyetujui kontrak untuk satu transaksi, penyerang mendapatkan cek kosong.

Intinya: Sebelum mengklik “Setujui” pada kontrak apa pun, tanyakan pada diri sendiri—apakah saya benar-benar mempercayai alamat ini dengan akses token tanpa batas? Sebagian besar waktu, jawabannya seharusnya tidak.

Perusahaan keamanan (CertiK, PeckShield, Scam Sniffer) dapat melacak uang tersebut, tetapi mereka tidak dapat mengembalikannya setelah masuk ke Tornado Cash. Ini adalah masalah pendidikan pengguna, bukan masalah teknologi.