Pengalaman Zak Cole: Korban Penguras Dompet Cryptocurrency
Seorang pengembang inti Ethereum, Zak Cole, mengungkapkan bahwa ia menjadi korban penguras dompet cryptocurrency yang terkait dengan asisten kode berbahaya. Hal ini menyoroti bagaimana bahkan para pembangun berpengalaman dapat terjebak dalam penipuan yang semakin canggih.
Detail Insiden
Cole melaporkan bahwa ia menjadi korban ekstensi kecerdasan buatan jahat dari Cursor AI, yang memungkinkan penyerang mengakses dompet panasnya selama tiga hari sebelum menguras dana. Dalam sebuah posting di X pada hari Selasa, Cole menjelaskan bahwa ia menginstal “contractshark.solidity-lang” yang tampak sah, lengkap dengan ikon profesional, deskripsi yang menarik, dan lebih dari 54.000 unduhan.
Namun, ekstensi tersebut secara diam-diam mengekstrak kunci pribadinya. Plugin itu “membaca file .env saya” dan mengirimkan kunci tersebut ke server penyerang, memberikan akses ke dompet panas selama tiga hari sebelum dana dikuras pada hari Minggu. Cole menyatakan,
“Dalam lebih dari 10 tahun, saya tidak pernah kehilangan satu wei pun kepada peretas. Namun, saya terburu-buru untuk mengirimkan kontrak minggu lalu.”
Ia menambahkan bahwa kerugian terbatas pada “beberapa ratus” dolar dalam Ether karena ia menggunakan dompet panas kecil yang terpisah untuk proyek pengujian dan menyimpan kepemilikan utama di perangkat keras.
Ancaman Penguras Dompet
Penguras dompet — malware yang dirancang untuk mencuri aset digital — menjadi ancaman yang semakin besar bagi investor cryptocurrency. Pada bulan September 2024, sebuah penguras dompet yang menyamar sebagai Protokol WalletConnect berhasil mencuri lebih dari $70.000 aset digital dari investor setelah aktif di Google Play Store selama lebih dari lima bulan.
Keamanan Ekstensi dan Saran
Ekstensi jahat menjadi “vektor serangan utama” bagi para pembangun crypto. Menurut Hakan Unal, pemimpin operasi keamanan senior di perusahaan keamanan blockchain Cyvers, ekstensi jahat untuk VS Code dan ekstensi lainnya menjadi “vektor serangan utama”, menggunakan penerbit palsu dan kesalahan ketik untuk mencuri kunci pribadi.
Ia menekankan bahwa para pembangun harus:
- Memeriksa ekstensi yang mereka gunakan
- Menghindari menyimpan rahasia dalam teks biasa atau file .env
- Menggunakan dompet perangkat keras
- Mengembangkan di lingkungan terisolasi
Sementara itu, penguras crypto semakin mudah diakses oleh penipu. Laporan 22 April dari perusahaan forensik dan kepatuhan crypto AMLBot mengungkapkan bahwa penguras ini dijual sebagai model perangkat lunak-sebagai-layanan, memungkinkan penipu untuk menyewanya dengan harga serendah $100 USD, lapor Cointelegraph.
