Iqbal MaulanaCryptoharian – Beberapa waktu lalu, terjadi insiden mengejutkan dimana seorang hacker cerdik berhasil menjalankan “Zero Transfer Scam” dan menguasai dana senilai US$ 20 juta dalam bentuk USDT.
Dalam hal ini, seorang crypto twitter bernama Axel Bitblaze membahas hal ini dengan membeberkan bagaimana rentetan aksi yang dilakukan oleh pelaku dan bagaimana cara menghindarinya.
Menurut Axel, penipuan ini menargetkan pengguna aset kripto yang tidak curiga selama transaksi. Kasus ini sendiri telah menarik perhatian tokoh-tokoh terkemuka dalam industri, termasuk CZ, CEO Binance dan tim Tether.
Modus operandi dari “Zero Transfer Scam” melibatkan eksploitasi kombinasi fitur-fitur blockchain dan rekayasa sosial. Hal ini dijalankan untuk menipu pengguna agar mengirimkan dana mereka langsung ke tangan para penyerang.
Tiga tahap cerdik dari serangan ini diidentifikasi sebagai berikut:
1. Memantau dan Memilih Korban
Penipuan dimulai dengan sang hacker memantau blockchain untuk transfer token secara real-time. Tujuannya adalah mencari korban potensial yang alamatnya terlibat dalam pergerakan token terkini.
2. Menganalisis Korban
Setelah korban terpilih, penyerang melakukan analisis mendalam terhadap transfer token korban sebelumnya. Mereka memeriksa semua alamat yang pernah dihubungi korban di masa lalu, dan memfokuskan pada alamat tertentu yang pernah menerima token dari korban.
3. Membuat Alamat Palsu
Dengan alamat penerima dalam genggaman, para penyerang menggunakan alat-alat “brute-forcing,” seperti “Profanity” dari 1inch untuk membuat alamat vanitas yang sangat mirip dengan alamat yang sah. Alamat palsu yang dibuat dengan hati-hati ini dirancang untuk menipu korban agar percaya bahwa itu adalah alamat penerima yang dimaksudkan.
Para penyerang memanfaatkan fitur cerdik yang dikenal sebagai metode “transferFrom,” bagian dari standar ERC-20 yang diimplementasikan oleh banyak token di blockchain Ethereum. Metode ini memungkinkan mereka untuk menentukan pemilik token dan alamat penerima, meskipun mereka tidak memiliki akses langsung ke dompet atau kunci pribadi korban.
Baca Juga: Dami-Defi Bagikan 7 Cara Mendapatkan Uang dalam Dunia Kripto, Simak Selengkapnya!
Dengan mengatur jumlah token yang akan ditransfer (“numTokens”) menjadi nol, para penipu melewati pemeriksaan “require” pada metode tersebut, membuatnya tampak seperti transaksi sah. Meskipun tidak ada token yang berpindah, metode “transferFrom” tetap mengeluarkan acara “Transfer,” menciptakan ilusi transfer token yang sukses.
Perangkap diatur saat penyerang menyiarkan transaksi khusus yang telah dibuat, yang direkam di blockchain publik seperti transaksi sah lainnya. Explorers blockchain dan dompet melihat ini sebagai transfer yang sukses, menampilkan token dikirim dari alamat korban ke alamat palsu.
Bagian penting dari serangan ini adalah rekayasa sosial. Ketika korban meninjau riwayat transaksi mereka dan menemukan transaksi palsu, mereka mungkin secara tidak sengaja membandingkan beberapa karakter pertama dan terakhir alamat penerima dengan yang pernah mereka hubungi sebelumnya. Tanpa sadar akan penipuan, korban mungkin salah mengira bahwa alamat palsu adalah alamat sah dan menggandakannya.
Tanpa disadari jatuh ke perangkap penyerang, korban kemudian mengirimkan token ke alamat palsu, dengan keyakinan bahwa mereka mengirimkannya ke penerima yang sebenarnya. Sayangnya, token yang dikirim ke alamat palsu akan hilang tanpa bisa dikembalikan dan para penyerang berhasil menipu korban.
Setelah mengetahui insiden mengejutkan ini, Binance dan Tether dengan cepat mengambil tindakan untuk melindungi komunitas mereka dengan menambahkan alamat penipu ke dalam daftar hitam dalam satu jam.
Seperti dilansir dari suara.com, serangan serupa juga pernah terjadi sebelumnya namun semakin menurun angkanya, Pada awal Juli 2023 lalu, data terbaru Kaspersky membeberkan phishing terkait kripto di Asia Tenggara menunjukkan penurunan sedikit pada 2022, dari 164.330 deteksi pada 2021 menjadi 147.649 tahun lalu.
Penurunan hanya diamati di tiga dari enam negara utama di wilayah ini, yaitu Singapura (74 persen), Thailand (51 persen), dan Vietnam (15 persen).
Baca Juga: Kenapa Shiba Inu Naik 9 Persen Ketika Bitcoin Lagi Turun?
Cara Agar Tetap Aman.
Axel menjelaskan, hal penting yang perlu diIngat adalah Serangan Zero Transfer Phishing ini cenderung mengeksploitasi psikologi manusia. Tindak kriminal ini juga mengandalkan kebiasaan melihat secara cepat dan menyalin alamat para pengguna kripto. Karena itu, yang perlu anda lakukan adalah:.
1. Verifikasi Seluruh Alamat
Selalu periksa ulang seluruh alamat sebelum mengirimkan transaksi apapun.
2. Gunakan QR Scanner
Menggunakan kode QR untuk melakukan deposit dan penarikan aset akan menghindari serangan ini karena tidak perlu menyalin alamat.
3. Berhati-hati:
Waspadai menyalin alamat dari transaksi yang tidak dikenal atau mencurigakan.
4. Gunakan Alat Terpercaya
Cari blockchain explorer dan dompet terpercaya yang menandai atau menyaring transaksi dan alamat yang mencurigakan.
Sebelum memutuskan untuk berinvestasi pada mata uang kripto, senantiasa lakukan riset karena kripto adalah aset volatil dan berisiko tinggi. Cryptoharian tidak bertanggung jawab atas kerugian maupun keuntungan anda.
Muhammad Syofri
Septiady
