Penambangan Keamanan Menyeluruh: Metode Serangan Inti dalam Insiden $118 Juta di Bulan Terakhir

Kejadian keamanan akhir tahun 2024 meninggalkan jejak yang mengkhawatirkan: 118 juta dolar hilang melalui berbagai serangan kripto hanya dalam bulan Desember saja. Angka ini melampaui ekspektasi banyak ahli, mencerminkan semakin kompleksnya taktik serangan yang menargetkan ekosistem blockchain global. Laporan dari CertiK menunjukkan bahwa phishing tetap menjadi alat utama para penjahat, menyumbang 93,4 juta dolar – sekitar 79% dari total kerugian – sementara kerentanan teknologi lainnya terus menciptakan celah keamanan yang belum terdeteksi pengguna.

Lỗ bịch adalah apa dan mengapa menjadi target favorit penyerang

Untuk memahami lebih dalam tentang insiden bulan Desember, perlu diketahui konsep “lỗ bịch adalah apa” – yaitu titik lemah dalam kode sumber, mekanisme keamanan, atau proses verifikasi yang dapat dieksploitasi oleh penyerang. Celah ini ada di berbagai tingkat: dari perangkat lunak aplikasi (seperti aplikasi dompet), infrastruktur blockchain, hingga kebijakan perlindungan data pengguna.

Dalam insiden bulan Desember, para penyerang mengeksploitasi celah melalui tiga cara utama. Pertama, mereka menggunakan kerentanan sosial teknik – membuat situs web palsu, mengumumkan airdrop tidak resmi, dan meniru saluran dukungan resmi untuk menipu pengguna agar mengungkap seed phrase atau kunci pribadi. Kedua, mereka memanfaatkan kerentanan dalam kontrak pintar – bug pemrograman untuk mencuri dana secara ilegal atau memanipulasi harga. Ketiga, mereka mengeksploitasi proses pengelolaan data yang lemah dari protokol, seperti kebocoran kunci autentikasi dalam proses voting tata kelola.

Analisis detail: Tiga serangan terbesar dan metode serangan

Trust Wallet: Kerentanan dalam model pembaruan modular

Trust Wallet kehilangan 8,5 juta dolar ketika pengguna tertipu menginstal versi palsu dari ekstensi browser. Serangan ini mengeksploitasi celah dalam proses verifikasi identitas ekstensi, memungkinkan versi berbahaya beroperasi seperti yang resmi. Penyerang menggunakan kampanye iklan di media sosial untuk menyebarkan tautan instalasi, kemudian ekstensi palsu akan mengumpulkan seed phrase saat pengguna memasukkan data.

Flow: Celah dalam proses tata kelola

Blockchain Flow mengalami kerugian sebesar 3,9 juta dolar akibat celah dalam mekanisme tata kelola. Secara spesifik, beberapa kunci autentikasi node bocor selama proses voting, memungkinkan penyerang mengaku sebagai node yang sah dan menyetujui transaksi ilegal. Insiden ini menunjukkan bahwa tidak semua protokol besar memiliki proses keamanan lengkap untuk aktivitas pengelolaan dasar.

Unleash Protocol: Serangan flash loan gabungan manipulasi harga

Unleash Protocol kehilangan 3,9 juta dolar melalui serangan kompleks. Penyerang menggunakan flash loan (pinjam cepat sejumlah besar token tanpa jaminan) untuk memanipulasi harga di bursa decentralized, lalu mengeksploitasi celah dalam logika penetapan harga protokol untuk menarik lebih banyak dana dari nilai awal. Ini adalah celah umum dalam protokol DeFi baru – bergantung pada harga pasar tanpa mekanisme verifikasi independen.

Phishing mendominasi: 93,4 juta dolar hilang melalui teknik sosial

Dari total 118 juta dolar, 93,4 juta dolar (79%) berasal dari serangan phishing – angka ini mencerminkan tren yang mengkhawatirkan. Penyerang tidak perlu mengeksploitasi kerentanan teknis yang rumit, cukup memanfaatkan psikologi manusia.

Kampanye phishing bulan Desember menunjukkan banyak fitur canggih:

• Serangan multi-chain: Alih-alih menargetkan satu blockchain, penyerang melancarkan serangan sekaligus di Ethereum, BNB Chain, dan Polygon. Ini memungkinkan mereka menjerat pengguna yang tidak aktif memeriksa jaringan yang mereka gunakan.

• Script penarikan dompet otomatis: Setelah menguasai akses ke dompet, program otomatis diaktifkan untuk menarik seluruh aset – tidak hanya satu jenis token, tetapi juga NFT, rewards staking, dan aset lainnya.

• Menargetkan komunitas tertentu: Alih-alih mengirim email massal, penyerang kini menggunakan data publik dari saluran Discord atau Telegram protokol untuk membuat pengumuman airdrop palsu yang tampak sangat resmi.

Perbandingan dengan masa lalu: Tren peningkatan yang mengkhawatirkan

Melihat data tiga bulan terakhir tahun 2024, gambaran menjadi lebih jelas:

• Oktober: 72 juta dolar (phishing menyumbang 68%)
• November: 86 juta dolar (phishing menyumbang 74%)
• Desember: 118 juta dolar (phishing menyumbang 79%)

Data ini menunjukkan dua tren bersamaan: total kerugian meningkat 37% dibandingkan November (dan 64% dibandingkan Oktober), sementara proporsi phishing dalam total kerugian terus meningkat. Ini berarti penyerang tidak hanya melancarkan lebih banyak serangan, tetapi juga lebih fokus pada metode yang efektif – teknik sosial.

Jumlah insiden besar juga meningkat dari 4 di Oktober menjadi 7 di Desember, tetapi rata-rata kerugian per insiden sedikit menurun (dari 18 juta menjadi sekitar 17 juta). Ini menunjukkan bahwa cakupan serangan telah meluas – tidak hanya menargetkan protokol besar, tetapi juga proyek yang lebih kecil dan menengah.

Respon industri: Dari langkah teknis ke edukasi

CertiK dan perusahaan keamanan lain telah memberikan rekomendasi spesifik:

Tingkat protokol:

• Implementasikan dompet multi-tanda tangan (multisig) untuk seluruh dana sistem
• Gunakan transaksi time-lock (timelock) untuk transfer besar
• Audit keamanan wajib sebelum peluncuran mainnet
• Tetapkan oracle harga dari berbagai sumber independen, bukan satu sumber tunggal

Tingkat pengguna:

• Aktifkan fitur simulasi transaksi (transaction simulation) untuk melihat hasil sebelumnya
• Gunakan dompet hardware untuk dana besar
• Verifikasi semua URL sebelum menghubungkan dompet
• Selalu konfirmasi airdrop melalui saluran resmi, jangan pernah klik tautan dari pesan pribadi

Bursa decentralized telah meningkatkan antarmuka peringatan, protokol asuransi memperluas perlindungan, dan tim keamanan membentuk prosedur pengungkapan celah yang lebih cepat. Namun, semua upaya ini masih sebatas “pengobatan” dan bukan “pencegahan total” – karena sifat blockchain yang terbuka dan tidak terkendali, celah akan selalu ada.

Prospek 2025: Tantangan di depan

Memasuki tahun baru, industri menghadapi tantangan yang diperkirakan:

• AI dalam phishing: Kampanye phishing menggunakan model bahasa besar akan menjadi lebih meyakinkan, dengan email dan pesan yang dipersonalisasi berdasarkan data publik.

• Interaksi lintas rantai: Ketika blockchain semakin terintegrasi, permukaan serangan membesar – celah di satu rantai bisa menyebar ke rantai lain.

• Ancaman komputasi kuantum: Standar kriptografi saat ini bisa dilumpuhkan oleh komputer kuantum dalam beberapa tahun ke depan.

Di sisi lain, alat verifikasi formal (formal verification) semakin matang, dan jaringan keamanan terdesentralisasi (seperti kelompok bug bounty yang tersebar) memberikan harapan. Perlombaan antara keamanan dan serangan akan terus berlangsung, tetapi dengan alat yang lebih baru dari kedua belah pihak.