CISO Coinbase Bahas Pencegahan Penipuan di Tengah Kerugian Tahunan US$300 Juta

Penipuan rekayasa sosial semakin meningkat, dan eksploitasi ini terutama menargetkan pengguna Coinbase sepanjang kuartal pertama 2025. Menurut serangkaian investigasi oleh ZachXBT, pengguna telah kehilangan lebih dari US$100 juta sejak Desember 2024, sementara kerugian tahunan mencapai US$300 juta. 

Setelah memilah keluhan dari berbagai pengguna, BeInCrypto berbicara dengan Chief Information Security Officer (CISO) Coinbase, Jeff Lunglhofer, untuk memahami apa yang membuat pengguna rentan terhadap serangan semacam ini, bagaimana hal itu terjadi, dan apa yang sedang dilakukan untuk menghentikannya. 

Menilai Keseriusan Penipuan yang Mempengaruhi Pengguna Coinbase

Sepanjang kuartal pertama 2025, beberapa pengguna Coinbase menjadi korban penipuan rekayasa sosial. Sebagai exchange terpusat terkemuka di sektor di mana peretasan semakin canggih seiring waktu, kenyataan ini tidak mengejutkan. 

Dalam investigasi terbaru, peneliti Web3 ZachXBT melaporkan beberapa pesan yang diterimanya dari pengguna X yang mengalami penarikan besar dari akun Coinbase mereka. 

1/ Over the past few months I imagine you have seen many Coinbase users complain on X about their accounts suddenly being restricted.

This is the result of aggressive risk models and Coinbase’s failure to stop its users losing $300M+ per year to social engineering scams. pic.twitter.com/PjtX7vmjqc

— ZachXBT (@zachxbt) February 3, 2025

Pada 28 Maret, ZachXBT mengungkapkan eksploitasi rekayasa sosial signifikan yang merugikan satu individu hampir US$35 juta. Investigasi lebih lanjut oleh detektif kripto tersebut selama periode itu menemukan korban tambahan dari eksploitasi yang sama, mendorong total yang dicuri pada bulan Maret saja menjadi lebih dari US$46 juta.

Dalam investigasi terpisah yang diselesaikan sebulan sebelumnya, ZachXBT mengungkapkan bahwa US$65 juta dicuri dari pengguna Coinbase antara Desember 2024 dan Januari 2025. Dia juga melaporkan bahwa Coinbase diam-diam bergulat dengan masalah penipuan rekayasa sosial yang merugikan penggunanya US$300 juta per tahun.

Walaupun pengguna Coinbase sangat rentan terhadap penipuan rekayasa sosial, exchange terpusat secara umum juga sangat terpengaruh oleh serangan yang semakin canggih ini.

Bagaimana Konteks Lebih Luas Mencerminkan Situasi Ini?

Data publik mengenai evolusi penipuan rekayasa sosial dalam beberapa tahun terakhir terbatas dan agak ketinggalan zaman. Namun, angka dalam laporan yang tersedia sangat mencengangkan.

Pada 2023, Internet Crime Complaint Center (IC3) di bawah Biro Investigasi Federal AS (FBI) merilis laporan kripto pertamanya. Penipuan investasi merupakan kategori terbesar dari keluhan terkait kripto, mewakili 46% dari hampir 69.500 keluhan yang diterima, atau sekitar 33.000 kasus.

Penipuan investasi, atau pig butchering, melibatkan janji palsu tentang pengembalian tinggi dengan risiko rendah untuk menarik investor, terutama pendatang baru di kripto yang didorong oleh ketakutan kehilangan keuntungan besar.

Menurut laporan IC3, skema ini mengandalkan rekayasa sosial dan membangun kepercayaan. Kriminal menggunakan platform seperti media sosial, aplikasi kencan, jaringan profesional, atau pesan terenkripsi untuk terhubung dengan target mereka.

Pada 2023, penipuan investasi ini mengakibatkan kerugian sebesar US$3,96 miliar bagi pengguna, mewakili peningkatan 53% dari tahun sebelumnya. Penipuan rekayasa sosial lainnya, seperti phishing dan spoofing, lebih lanjut menyebabkan kerugian sebesar US$9,6 juta. 

Penipuan ini telah sangat mempengaruhi pengguna Coinbase selama beberapa tahun terakhir.

Taktik Penipuan Baru Menargetkan Pengguna Aset Kripto

Penipu Coinbase cenderung membuat email palsu yang tampak sah dengan menggunakan gambar situs web yang dikloning dan ID Kasus palsu. Mereka kemudian menghubungi pengguna melalui panggilan spoofing, memanfaatkan informasi pribadi untuk membangun kepercayaan sebelum mengirimkan email menipu ini.

Setelah penipu meyakinkan pengguna tentang keabsahan interaksi tersebut, mereka mengeksploitasi situasi untuk membujuk mereka mentransfer dana.

Semakin canggihnya penipuan ini menunjukkan manipulasi emosional yang terlibat dan kerentanan khusus dari para korban. Mereka menunjukkan bahwa exchange terpusat sering menjadi platform utama untuk eksploitasi ini.

Investigasi ZackXBT dan laporan pengguna di X mengungkapkan kesenjangan antara sejauh mana penipuan rekayasa sosial dan efektivitas manajemen Coinbase yang nampaknya kurang.

Diskusi publik menunjukkan bahwa Coinbase belum menandai alamat pencurian dalam alat kepatuhan umum.

Korban penipuan dan pengguna yang dananya dibekukan mendesak Coinbase untuk mengambil tindakan lebih kuat terhadap masalah yang semakin besar dan mahal ini. Memahami bagaimana penipuan ini terjadi sangat penting untuk menanganinya secara efektif.

Bagaimana Pengguna Coinbase Menjadi Korban?

Pada bulan Januari, seorang korban menghubungi penyelidik setelah kehilangan US$850.000. Dalam kasus itu, penipu menghubungi korban dari nomor telepon yang dipalsukan, menggunakan informasi pribadi yang kemungkinan diperoleh dari basis data pribadi untuk mendapatkan kepercayaan mereka.  

5/ They then sent a spoofed email which appeared to be from Coinbase with a fake Case ID further gaining trust.

They instructed the victim to transfer funds to a Coinbase Wallet and whitelist an address while “support” verified their accounts security. pic.twitter.com/pOTQpnMfCz

— ZachXBT (@zachxbt) February 3, 2025

Penipu meyakinkan korban bahwa akun mereka mengalami beberapa upaya login tidak sah dengan mengirimkan email palsu dengan ID Kasus palsu. Penipu kemudian menginstruksikan korban untuk memasukkan alamat ke dalam daftar aman dan mentransfer dana ke wallet Coinbase lain sebagai bagian dari prosedur keamanan rutin.

Pada bulan Oktober lalu, pengguna Coinbase lainnya kehilangan US$6,5 juta setelah menerima panggilan dari nomor palsu yang mengaku sebagai dukungan Coinbase.

Korban dipaksa menggunakan situs phishing. Delapan bulan sebelumnya, korban lain kehilangan US$4 juta setelah penipu meyakinkan mereka untuk mereset login Coinbase mereka.

ZachXBT mengungkapkan kekhawatiran tentang kurangnya pelaporan alamat pencurian oleh Coinbase dalam sumber daya kepatuhan umum dan penanganan yang dianggap tidak memadai terhadap masalah rekayasa sosial yang meningkat.

Dalam percakapan dengan BeInCrypto, Jeff Lunglhofer, Chief Information Security Officer Coinbase, membagikan versinya tentang peristiwa tersebut.

CISO Coinbase Bahas Penipuan Social Engineering

Meski Coinbase memahami dengan jelas kerugian luas yang disebabkan oleh scam rekayasa sosial yang mempengaruhi penggunanya, Lunglhofer menekankan bahwa komunitas kripto yang lebih luas seharusnya menangani masalah ini secara kolektif daripada mempercayakan tanggung jawab kepada satu entitas saja.

“Dalam konteks tantangan rekayasa sosial yang lebih luas di luar sana, tentu saja, pelanggan Coinbase terkena dampaknya. Kami sangat menyadarinya. Kami telah meluncurkan sejumlah perbaikan kontrol untuk membantu melindungi pengguna kami, dan, saya pikir yang lebih penting, kami bekerja dengan industri yang lebih luas untuk membawa ide-ide ini dan peningkatan kontrol ini ke seluruh industri, ke seluruh exchange kripto, ke semuanya,” ujar Lunglhofer kepada BeInCrypto.

CISO Coinbase merujuk pada upaya kolaboratif exchange dengan platform lain untuk memerangi masalah ini dalam jawabannya.

Secara khusus, Lunglhofer menunjuk pada inisiatif “Tech Against Scams,” sebuah kemitraan dengan pelaku industri seperti Match Group, Meta, Kraken, Ripple, dan Gemini untuk melawan penipuan online dan skema keuangan.

Lunglhofer juga menambahkan bahwa Coinbase mengambil pendekatan serupa saat menandai alamat pencurian.

Mengapa Coinbase Menangani Alamat Pencurian dengan Berbeda

Ketika BeInCrypto bertanya kepada Coinbase mengapa mereka tidak mempublikasikan alamat pencurian di alat kepatuhan populer, Lunglhofer menjelaskan bahwa exchange memiliki prosedur berbeda untuk skenario ini.

“Kami akan berkomunikasi langsung dengan exchange lain [dan] memberi tahu mereka alamat yang telah kami lihat di mana aset telah ditarik,” ucapnya, menambahkan bahwa “ketika kami melihat bahwa ada, sebenarnya, aktivitas penipuan, kami akan menarik kembali semua wallet yang terkait dengan penipuan dan kami akan mendorongnya ke exchange lain yang kami berkomunikasi dengan,” ucapnya.

Lunglhofer juga menyebutkan Crypto ISAC, sebuah kelompok intelijen dan berbagi informasi yang didirikan oleh Coinbase bekerja sama dengan berbagai exchange kripto dan organisasi lain untuk mendistribusikan informasi terkait penipuan.

Ketika datang ke email palsu, nomor telepon, atau situs phishing, Coinbase mendelegasikan tanggung jawab kepada penyedia layanan eksternal.

Perjuangan Coinbase Melawan Banjir Konten Palsu

Lunglhofer mengakui bahwa jumlah email palsu yang diidentifikasi atau diterima Coinbase dalam bentuk laporan jauh melebihi kapasitas exchange untuk menurunkannya.

“Sayangnya, mereka sangat banyak. Saya bisa membuka sepuluh di antaranya dalam lima menit. Sangat mudah untuk dilakukan. Jadi tidak banyak yang bisa kami lakukan tentang itu. Tapi, ketika kami mengidentifikasi mereka [atau ketika] seorang pelanggan melaporkannya, kami memang menurunkannya,” tuturnya.

Coinbase menggunakan vendor untuk menghilangkan kampanye spoof atau phishing yang beredar dalam kasus tersebut.

“Kami memiliki beberapa vendor yang kami gunakan untuk melakukan penurunan. Jadi setiap kali kami melihat nomor telepon palsu muncul, setiap kali kami melihat URL palsu [atau] situs web palsu didirikan, kami akan mengeluarkan perintah untuk menurunkannya. Kami akan menggunakan vendor kami untuk bekerja dengan penyedia DNS dan lainnya untuk menurunkannya secepat mungkin,” terang Lunglhofer kepada BeInCrypto.

Meskipun langkah pencegahan ini penting untuk masa depan, mereka memberikan sedikit jalan keluar bagi pengguna yang sudah kehilangan jutaan dolar akibat penipuan.

Tanggung Jawab Siapa? Pengguna vs. Exchange

Coinbase tidak menanggapi pertanyaan BeInCrypto tentang pengembangan kebijakan asuransi bagi pengguna yang kehilangan tabungan akibat scam rekayasa sosial, meninggalkan pendekatan mereka di area ini tidak jelas.

Namun, scam rekayasa sosial sangat kompleks, mengandalkan manipulasi emosional yang signifikan untuk membangun kepercayaan. Kompleksitas ini menimbulkan pertanyaan tentang sejauh mana tanggung jawab yang jatuh pada kerentanan pengguna dibandingkan dengan potensi kekurangan dalam langkah-langkah perlindungan pengguna exchange terpusat.

Komunitas kripto yang lebih luas umumnya setuju bahwa lebih banyak materi edukasi diperlukan untuk membantu pengguna membedakan antara komunikasi yang sah dan upaya penipuan.

Terkait masalah ini, Lunglhofer menjelaskan bahwa Coinbase tidak akan pernah menelepon pengguna secara tiba-tiba. Dia juga mencatat bahwa Coinbase baru-baru ini menerapkan fitur berbeda yang bertindak sebagai peringatan bagi pengguna yang mungkin berinteraksi dengan penipuan.

Selain itu, CISO menyebutkan ‘kuis penipuan,’ alat edukasi yang muncul sebagai banner waktu nyata ketika pengguna akan melakukan transaksi yang ditandai sebagai mencurigakan oleh exchange.

Meskipun fitur ini merupakan keuntungan, kemampuannya untuk melindungi pengguna sulit diukur, terutama mengenai seberapa efisiennya menandai aktivitas mencurigakan. Coinbase tidak menanggapi ketika BeInCrypto bertanya apakah exchange secara internal melacak data terkait scam rekayasa sosial.

Masalah serupa muncul dengan ‘daftar aman’ Coinbase.

Kerugian Coinbase US$850.000

Coinbase menawarkan fitur yang memungkinkan pengguna membuat daftar aman dari alamat penerima yang disetujui untuk membantu mencegah transaksi ke alamat yang tidak dikenal atau tidak terverifikasi. Lunglhofer sangat mendorong pengguna Coinbase untuk mengadopsi langkah ini.

“Kami menawarkan setiap pelanggan ritel kemampuan untuk membuat ‘daftar izinkan’ untuk wallet yang diizinkan untuk mentransfer aset. Di akun pribadi saya di Coinbase, saya mengaktifkan ‘daftar izinkan’, dan saya hanya memiliki tiga wallet yang diizinkan,” terang Lunglhofer.

Namun, kerugian akibat penipuan sebesar US$850.000 yang dialami oleh seorang pengguna Coinbase pada bulan Januari, seperti yang diungkapkan oleh ZachXBT, menunjukkan keterbatasan kritis dari daftar aman.

Bahkan setelah korban menambahkan alamat pencurian, manipulasi yang mengarah pada penambahan ini masih bisa terjadi, sehingga menetralkan perlindungan yang dimaksudkan.

Bisakah Coinbase Melakukan Lebih Banyak untuk Melindungi Pengguna?

Penipuan rekayasa sosial yang canggih menjadi ancaman yang semakin meningkat, menciptakan tantangan signifikan bagi pengguna kripto. Pengguna Coinbase dan exchange terpusat pada umumnya sangat terpengaruh.

Meski upaya yang digariskan oleh Coinbase, kerugian finansial yang signifikan menyoroti keterbatasan dari langkah-langkah standar industri saat ini melawan penipu yang gigih.

Walaupun kerja sama sangat penting di semua lini, Coinbase, sebagai platform terkemuka, juga harus lebih proaktif dalam mengedukasi penggunanya dengan upaya dan sumber daya yang lebih besar.

Rekayasa sosial pada dasarnya adalah masalah yang digerakkan oleh pengguna, bukan kegagalan keamanan dari exchange mana pun. Namun, platform seperti Coinbase memiliki tanggung jawab penting untuk memimpin inisiatif industri secara luas untuk mengatasi ancaman ini.

Jutaan yang hilang adalah pengingat tegas bahwa kewaspadaan dan tindakan kolektif sangat penting dalam melindungi pengguna dari serangan yang semakin canggih dan sering ini.