Kasus Keamanan Terbaru di Ekosistem Solana
Kasus keamanan terbaru telah memicu kekhawatiran dalam ekosistem Solana setelah seorang pengguna kehilangan lebih dari $3 juta dalam insiden phishing yang canggih. Pelanggaran ini mengungkapkan risiko yang kurang dikenal dalam struktur akun Solana dan menunjukkan bagaimana penyerang dapat mengubah izin dompet tanpa menunjukkan perubahan yang terlihat selama proses penandatanganan.
SlowMist melaporkan bahwa penyerang berhasil menguasai dompet dengan memodifikasi izin pemiliknya melalui permintaan tanda tangan yang menipu. Transaksi tersebut tidak menunjukkan pergerakan saldo, sehingga mengurangi kecurigaan pengguna.
Pemahaman yang Salah tentang Kepemilikan Akun
Banyak pengguna Solana menganggap kepemilikan akun mereka berfungsi seperti EOA (Externally Owned Account) di Ethereum. Oleh karena itu, mereka tidak mengharapkan kepemilikan berubah hanya dengan satu tanda tangan. Salah paham ini menciptakan celah bagi penyerang yang merancang transaksi yang tampak tidak berbahaya sambil melakukan operasi berisiko tinggi.
Struktur Akun dan Risiko yang Dikenalkan
Para ahli juga mencatat bahwa Solana menggunakan beberapa jenis akun, termasuk akun normal dan PDA (Program Derived Account). Akun token beroperasi di bawah aturan yang ditegakkan oleh program token mereka. Struktur ini meningkatkan efisiensi tetapi juga memperkenalkan lebih banyak area yang dapat disasar oleh penyerang.
Kasus terbaru ini melibatkan beberapa lapisan manipulasi izin, yang memungkinkan penyerang untuk mengalihkan dana melalui berbagai platform dan alamat.
Pelacakan dan Pemulihan Dana
Penyelidik di MistTrack melacak pergerakan penyerang dan menemukan rotasi dana yang cepat dan multi-platform. Rute tersebut mencakup siklus lintas rantai, setoran di CEX (Centralized Exchange), dan penggunaan kembali aset DeFi. Selain itu, dua pusat dompet utama menangani sebagian besar transfer, menunjukkan pola yang mirip dengan skema pencucian uang canggih lainnya.
Korban juga memiliki $2 juta lainnya yang terkunci di platform DeFi. Tim protokol terkait membantu memulihkan aset tersebut, menunjukkan pentingnya pelaporan yang cepat.
Pentingnya Kewaspadaan
Perusahaan keamanan menekankan pentingnya kewaspadaan. Pengguna harus:
- Memverifikasi URL
- Mengonfirmasi detail transaksi
- Menghindari berinteraksi dengan tautan yang tidak dikenal
- Menjaga dompet terpisah untuk aktivitas berisiko tinggi
- Menyimpan aset berharga secara offline
- Menghindari persetujuan tanpa batas
- Meninjau setiap permintaan izin dengan hati-hati
