Menurut investigasi Bloomberg, Crypto.com, salah satu exchange aset kripto terbesar di dunia, dilaporkan mengalami pelanggaran keamanan yang tidak pernah diungkapkan.
Laporan tersebut mengaitkan insiden ini dengan Scattered Spider, sebuah kelompok peretas yang sering menargetkan perusahaan dengan taktik rekayasa sosial. Kelompok ini terdiri dari remaja yang ahli dalam menipu karyawan agar memberikan kredensial mereka.
SponsoredCrypto.com Dihujani Kritik Karena Diduga Menutupi Kelemahan Keamanan
Menurut Bloomberg, para penyerang menyamar sebagai staf IT dan membujuk karyawan Crypto.com yang tidak disebutkan namanya untuk menyerahkan kredensial login. Setelah masuk, mereka mencoba meningkatkan akses dengan menargetkan akun staf senior.
Crypto.com mengatakan kepada Bloomberg bahwa serangan tersebut hanya mempengaruhi “sejumlah individu yang sangat kecil” dan menekankan bahwa dana pelanggan tetap aman.
Perusahaan tersebut belum memberikan informasi tambahan tentang insiden ini hingga waktu publikasi.
Sementara itu, para ahli keamanan berpendapat bahwa keputusan exchange untuk tidak mengungkapkan pelanggaran ini merusak kepercayaan terhadap praktik keamanannya.
Mereka berpendapat bahwa kegagalannya untuk berbagi detail tentang insiden ini membuat penggunanya tidak yakin tentang sejauh mana paparan dan rentan terhadap kemungkinan serangan lanjutan.
Kekhawatiran ini signifikan karena Coinbase sebelumnya mengalami pelanggaran serupa yang mengekspos pelanggannya terhadap kerugian lebih dari US$300 juta per tahun.
Peneliti on-chain ZachXBT menuduh Crypto.com sengaja menutupi pelanggaran tersebut. Dia juga menekankan bahwa ini bukan pertama kalinya platform tersebut dikaitkan dengan pelanggaran keamanan yang tidak diungkapkan.
SponsoredKomentarnya mencerminkan frustrasi industri yang lebih luas tentang exchange yang diam-diam meremehkan pelanggaran untuk melindungi reputasi mereka.
Sementara itu, insiden ini juga memicu kembali kritik terhadap ketergantungan industri pada sistem Know Your Customer (KYC).
Peneliti keamanan dengan nama samaran Pcaversaccio bereaksi tajam terhadap masalah ini, berpendapat bahwa persyaratan KYC menciptakan pot data besar bagi peretas.
“Anda bisa mengganti kata sandi dengan mudah, tapi _tidak_ paspor Anda dan mereka sangat mengetahuinya. Kita pada dasarnya adalah collateral dalam jaringan pengawasan mereka,” ujar peneliti tersebut menyatakan.
Kekhawatiran ini sejalan dengan skeptisisme industri yang lebih luas tentang kerangka peraturan.
Awal tahun ini, CEO Coinbase Brian Armstrong mengkritik Bank Secrecy Act dan aturan anti-pencucian uang yang ada sebagai usang dan tidak efektif.
Dia menjelaskan bahwa perusahaan dipaksa untuk mengumpulkan data sensitif bertentangan dengan keinginan mereka. Menurutnya, persyaratan tersebut tidak banyak mencegah kejahatan meskipun beban yang mereka berikan pada perusahaan dan pelanggan.
“Kami tidak ingin mengumpulkannya, dan pelanggan kami membencinya. Kami dipaksa untuk mengumpulkannya bertentangan dengan keinginan kami. Dan itu bahkan tidak efektif dalam menghentikan kejahatan, jika Anda melihat data di baliknya,” ucap Armstrong mengatakan.
