$24M Perampokan Phishing: Bagaimana Peretas Mengubah Persetujuan Token Menjadi Mesin Pengurasan

Ingat saat “hanya menyetujui sebuah transaksi” tampak tidak berbahaya? Bulan Maret ini, panggilan bangun dari keamanan blockchain membuktikan sebaliknya.

Pada September 2023, seekor paus kripto kehilangan $24 juta dolar melalui serangan phishing yang menargetkan layanan staking Rocket Pool. Serangan ini berjalan sangat halus: peretas menipu korban untuk menandatangani transaksi “Increase Allowance”—yang pada dasarnya menyerahkan kunci ke vault token mereka. Kerugiannya? 9.579 stETH + 4.851 rETH hilang dalam dua tahap.

Melangkah ke bulan Maret 21: CertiK mendeteksi peretas memindahkan 3.700 ETH (~$10 juta) ke Tornado Cash, layanan pencampuran yang dirancang untuk menyamarkan jejak dana. Pada saat itu, analisis PeckShield menunjukkan aset yang dicuri telah dikonsolidasikan menjadi 13.785 ETH + 1,64 juta DAI, dengan sebagian sudah dialirkan melalui FixedFloat dan tersebar di berbagai dompet.

Mengapa Ini Penting (Dan Mengapa Anda Harus Peduli)

Ini bukan sekadar eksploitasi kontrak pintar yang eksotis—ini adalah penyalahgunaan persetujuan token, salah satu kerentanan yang paling sering diabaikan dalam dunia kripto. Laporan Scam Sniffer menggambarkan gambaran suram: $47 juta dolar hilang karena phishing hanya di bulan Februari, dengan 78% dari kerugian terjadi di Ethereum dan token ERC-20 menyumbang 86% dari semua pencurian.

Bagian yang paling menakutkan? Tidak hanya pemain besar yang terbakar. Pada 20 Maret, pengguna Dolomite menemukan kontrak lama yang sebelumnya mereka setujui sedang digunakan untuk menguras dompet. Pertukaran tersebut harus mengeluarkan pemberitahuan pencabutan darurat.

Apa yang Salah (Dan Apa yang Bisa Berhasil)

Persetujuan token adalah kejahatan yang diperlukan di DeFi—mereka memungkinkan protokol menjalankan transaksi atas nama Anda. Tapi inilah jebakannya: setelah Anda menyetujui, Anda mempercayai kontrak tersebut selamanya sampai Anda secara manual mencabutnya. Peretas memanfaatkan ini dengan:

1. Membujuk Anda menyetujui kontrak berbahaya melalui phishing
2. Menguras dompet Anda secara sistematis dari waktu ke waktu
3. Mencampur dana melalui layanan seperti Tornado Cash untuk menutupi jejak

Namun, tidak semua cerita berakhir dengan kerugian. Layerswap menunjukkan bahwa respons cepat terhadap insiden dapat meminimalkan kerusakan—mereka menghentikan sebuah $100K perampokan saat situs mereka diretas, lalu mengganti kerugian pengguna dari kantong mereka sendiri.

Pemeriksaan Realitas

Dunia keamanan kripto sedang dalam perlombaan senjata. Setiap serangan phishing mengungkap kerentanan baru, dan setiap eksploitasi mengajarkan peretas trik baru. Perbedaan antara $10M kerugian dan $100K bencana sering kali bergantung pada satu hal: apakah Anda mencabut persetujuan token lama Anda.

Insiden bulan Maret ini bukan pengecualian—mereka adalah peringatan. Seiring DeFi menjadi semakin canggih, serangan juga semakin pintar.