Serangan Terbaru dan Kerentanan di Dunia Kripto
Serangan terbaru ini menyusul kampanye phishing sebelumnya, termasuk surat-surat palsu berlabel Ledger yang dikirim kepada pelanggan pada bulan April. Pembaruan Pectra terbaru Ethereum juga memperkenalkan kerentanan berbahaya melalui EIP-7702, yang memungkinkan tanda tangan off-chain, sehingga hacker dapat mengendalikan dompet tanpa memerlukan konfirmasi dari pengguna. Kekhawatiran ini telah menimbulkan perhatian serius di kalangan peneliti keamanan, yang menganggap ancaman ini sebagai masalah kritis.
Kejadian di BNB Chain dan Phishing di Discord
Di BNB Chain, Mobius Token (MBU) mengalami exploit yang merugikan sebesar $2,15 juta ketika kontrak pintar jahat menguras jutaan token dan mengubahnya menjadi stablecoin. Penyedia dompet hardware Ledger mengonfirmasi bahwa server Discord-nya telah diamankan setelah seorang penyerang membobol akun moderator pada 11 Mei. Penyerang tersebut memanfaatkan akun itu untuk memposting tautan berbahaya yang bertujuan menipu pengguna agar mengungkapkan frasa benih dompet mereka. Menurut anggota tim Ledger, Quintin Boatwright, pelanggaran ini segera ditangani.
“Akun moderator yang terkompromi telah dihapus, bot jahat dihapus, situs penipuan dilaporkan, dan semua izin ditinjau serta dikunci untuk mencegah penyalahgunaan lebih lanjut.”
Namun, beberapa anggota komunitas mengklaim bahwa penyerang menyalahgunakan hak istimewa moderator untuk melarang dan membisukan pengguna yang mencoba melaporkan pelanggaran, yang mungkin berdampak pada respons awal Ledger. Penipuan tersebut melibatkan pesan yang mengklaim adanya kerentanan baru dalam sistem Ledger dan mendesak pengguna untuk memverifikasi frasa benih mereka melalui tautan penipuan.
Ancaman yang Mengintai Pengguna Ledger
Meskipun belum ada informasi jelas mengenai pengguna yang menjadi korban penipuan ini, tangkapan layar pesan menipu telah banyak beredar di X. Upaya phishing terbaru ini mengikuti tren yang mengkhawatirkan. Pada bulan April, penipu mengirim surat fisik kepada pemilik dompet hardware Ledger, mendesak mereka untuk memasukkan frasa pemulihan mereka melalui kode QR dengan dalih pemeriksaan keamanan.
Beberapa penerima tampaknya mencurigai bahwa pengiriman surat ini terkait dengan pelanggaran data pada Juli 2020, di mana informasi pribadi lebih dari 270.000 pelanggan Ledger—termasuk nama, nomor telepon, dan alamat—terpapar secara online. Setahun setelah pelanggaran tersebut, beberapa pengguna melaporkan menerima perangkat Ledger palsu yang telah terinfeksi malware.
Kerentanan Dalam Pembaruan Ethereum
Namun bukan hanya pengguna Ledger yang harus waspada. Pembaruan jaringan Pectra terbaru Ethereum, yang diluncurkan pada 7 Mei, memperkenalkan fitur baru yang bertujuan untuk meningkatkan skalabilitas dan fungsionalitas akun pintar. Namun, fitur ini juga membuka potensi serangan baru yang serius yang dapat memungkinkan hacker menguras dompet pengguna hanya dengan menggunakan tanda tangan off-chain.
Di pusat masalah ini adalah EIP-7702, yang merupakan bagian penting dari pembaruan tersebut, memungkinkan pengguna untuk mendelegasikan kontrol atas akun eksternal (EOA) mereka kepada kontrak pintar hanya dengan menandatangani sebuah pesan—tanpa perlu melakukan transaksi on-chain. Perubahan ini memberikan kesempatan bagi penyerang untuk mengeksploitasi pengguna yang tidak curiga melalui upaya phishing atau aplikasi palsu.
Pentingnya Kesadaran dan Audit Kontrak
Jika pelaku jahat memperoleh tanda tangan yang valid, mereka dapat menggunakan transaksi SetCode (tipe 0x04) untuk menyisipkan kode di dompet korban yang mengarahkan fungsi ke kontrak yang berada di bawah kendali penyerang. Dari sana, penyerang dapat mentransfer ETH atau token dari dompet tanpa persetujuan transaksi yang biasa dari pengguna.
Peneliti keamanan seperti Arda Usman dan Yehor Rudytsia telah mengkonfirmasi bahwa risiko ini real dan sangat kritis. Kontrak pintar yang bergantung pada asumsi warisan, seperti pemeriksaan tx.origin, kini menjadi rentan.
Yang membuat serangan ini sangat berbahaya adalah seberapa mudahnya dapat diterapkan melalui interaksi off-chain umum—melalui pesan di Discord, situs phishing, atau DApp palsu. Antarmuka dompet yang tidak menampilkan atau menafsirkan jenis transaksi baru dengan benar sangat berisiko.
Sebagai kesimpulan,
Pengguna diingatkan agar tidak menandatangani pesan yang tidak mereka pahami, terutama yang berkaitan dengan nonce akun atau format yang tidak dikenali. Pengembang dompet harus cepat beradaptasi dengan mengintegrasikan fitur parsing tanda tangan dan peringatan jelas untuk upaya delegasi, karena pesan yang diizinkan oleh EIP-7702 sering kali lepas dari standar yang sudah ada.
Sementara itu, lebih dari $2,15 juta dalam aset digital dicuri dari kontrak pintar Mobius Token (MBU) di BNB Chain setelah eksploitasi terorganisir pada 11 Mei. Serangan ini dilakukan dengan presisi, dimulai hanya beberapa menit setelah penerapan kontrak pintar jahat. Cyvers sudah mencurigai ini sebelum eksploitasi terjadi.
Secara keseluruhan, eksploitasi Mobius Token berfungsi sebagai pengingat penting akan perlunya audit kontrak yang lebih baik dan sistem deteksi ancaman waktu nyata di seluruh platform DeFi.
