Minggu lalu, seorang pengguna Trust Wallet mengalami kehilangan dana secara tiba-tiba dalam semalam, seperti yang dijelaskan dalam laporan terbaru yang dibagikan dengan BeInCrypto. Ketika dia menghubungi wallet untuk mengetahui apa yang terjadi, mereka memberitahunya bahwa dia tanpa sadar telah memberikan izin kepada situs web atau aplikasi berbahaya.
Eve Lam, Chief Information Security Officer di Trust Wallet, mengatakan dalam sebuah wawancara dengan BeInCrypto bahwa sebagian besar penarikan aset kripto yang tidak sah berasal dari masalah pengguna. Dmytro Yasmanovych, Kepala Kepatuhan di Hacken, berbagi pandangan ini dan memberikan panduan tentang langkah-langkah yang harus diambil pengguna jika mereka mencurigai wallet aset kripto mereka telah dikompromikan.
Kerugian Semalam
Minggu lalu, Matias, seorang pengguna kripto dari Chili, tidur tanpa khawatir. Namun, ketika dia bangun, semuanya berubah. Menurut detail yang dibagikan dengan BeInCrypto, ketika Matias mengakses Trust Wallet-nya, dia melihat bahwa dananya telah ditarik dari akunnya.
Situasi seperti ini belum pernah terjadi padanya selama lima tahun menggunakan wallet selulernya. Matias segera menyadari bahwa pada pukul 8 pagi, sejumlah kecil kripto telah disetorkan ke akunnya. Tak lama setelah itu, akunnya dikosongkan.
Matias tidak tahu bagaimana hal seperti itu bisa terjadi. Setelah menghubungi tim keamanan Trust Wallet untuk penjelasan, dia mengetahui bahwa masalah tersebut berasal dari sesuatu yang dia lakukan tanpa sengaja.
“Berdasarkan data internal kami dan investigasi respons insiden, sebagian besar penarikan yang tidak sah ditelusuri kembali ke masalah di sisi pengguna,” ujar Lam kepada BeInCrypto.
Dia menjelaskan banyak cara pengguna dapat secara tidak sengaja membagikan informasi sensitif dengan pelaku jahat.
Realitas Kerentanan di Sisi Pengguna
Analisis Trust Wallet terhadap data internal dan investigasi respons insiden menunjukkan bahwa masalah di sisi pengguna menyebabkan sebagian besar penarikan aset kripto yang tidak sah.
Ini sering kali melibatkan frasa kunci yang bocor atau dikompromikan, sering disebabkan oleh taktik rekayasa sosial, penyimpanan yang tidak aman, dan persetujuan smart contract berbahaya yang diberikan oleh pengguna.
Kompromi pada tingkat perangkat dan insiden lainnya, seperti serangan SIM swap atau pencurian perangkat yang tidak terkunci, juga berkontribusi pada penarikan yang tidak sah ini.
“Dalam semua kasus ini, aplikasi Trust Wallet itu sendiri tidak dibobol—masalahnya berasal dari lingkungan eksternal di mana aplikasi tersebut digunakan atau dari tindakan yang diambil sebelum instalasi,” terang Lam.
Metode eksploitasi ini sekarang menjadi salah satu teknik serangan paling umum untuk mencuri aset kripto dari wallet seluler.
Kesalahan Pengguna vs. Peretasan Wallet: Di Mana Sebagian Besar Kerugian Terjadi?
Walaupun Hacken tidak memiliki data internal spesifik tentang tren serangan wallet seluler yang berkembang, Yasmanovych menjelaskan kepada BeInCrypto bahwa kerugian dana yang disebabkan oleh tindakan pengguna semakin terlihat dalam kasus yang diselidiki oleh perusahaan keamanan siber tersebut.
“Apa yang kami lihat dalam investigasi dan alat kami menunjukkan masalah yang jauh lebih luas: sebagian besar kerugian besar dalam kripto saat ini lebih sedikit tentang malware seluler dan lebih banyak tentang kegagalan dalam alur kerja penandatangan, keamanan antarmuka, dan kontrol akses,” papar Yasmanovych.
Alur kerja penandatangan melibatkan otorisasi transaksi aset kripto dengan kunci pribadi. Jika kunci ini dikompromikan, ini memungkinkan penandatanganan transaksi yang tidak sah secara langsung. Sementara itu, antarmuka pengguna (UI) yang cacat dalam wallet kripto dan dApps dapat menyesatkan pengguna ke dalam transaksi yang merugikan. Metode serangan termasuk address poisoning, di mana penyerang membuat alamat yang mirip untuk mencegat dana.
Mereka juga menggunakan dApps yang dipalsukan atau berbahaya yang dirancang untuk mencuri kredensial atau memicu penandatanganan transaksi yang merugikan. Selain itu, UI redressing melibatkan overlay yang menipu yang membuat pengguna melakukan tindakan yang tidak diinginkan.
Seringkali, pengguna juga tanpa sadar mengotorisasi smart contract berbahaya.
“Itu adalah poin penting—persetujuan berbahaya dapat ada sebelum Trust Wallet pernah diinstal, terutama jika pengguna berinteraksi dengan aplikasi Web3 menggunakan wallet atau browser lain,” Lam memperingatkan.
Setelah skenario seperti itu terjadi, sangat sulit untuk memulihkan dana.
Tantangan Pemulihan Dana
Mengingat statusnya sebagai wallet non-custodial, Trust Wallet tidak dapat membalikkan transaksi kripto setelah penipuan terjadi. Namun, Trust Wallet membantu pengguna dengan melakukan analisis on-chain untuk melacak dana yang dicuri. Trust Wallet juga menyediakan laporan insiden terperinci untuk penegak hukum dan kadang-kadang bekerja sama dengan perusahaan forensik.
Meski dengan upaya ini, kemungkinan untuk memulihkan dana tetap sangat rendah.
“Keberhasilan sangat bergantung pada tindakan awal. Ketika dana mencapai CEX dan pengguna segera melaporkan ke [penegak hukum], ada kemungkinan kecil pembekuan aset. Di semua kasus terkait penipuan, tingkat keberhasilan pemulihan rendah, namun ketika titik akhir terpusat terlibat dan penegak hukum dilibatkan dengan cepat, kami telah melihat dana dipulihkan, seperti kasus yang kami bantu dengan ~US$400 ribu yang dilacak,” ujar Lam kepada BeInCrypto.
Akibatnya, edukasi pengguna tetap menjadi cara paling efektif untuk mencegah masalah yang menyebabkan kerugian ini.
Lebih dari Deteksi: Langkah Pencegahan dan Reaktif Apa yang Penting?
Trust Wallet memiliki Security Scanner bawaan yang menandai ancaman secara real-time seperti interaksi dengan alamat penipu yang dikenal, situs phishing, dan persetujuan mencurigakan. Namun, terkadang tanda peringatan ini tidak cukup.
Untuk melindungi wallet kripto, Yasmanovych menyarankan agar organisasi dan individu menerapkan kontrol Cryptocurrency Security Standard (CCSS) untuk mengelola kunci dan memastikan keamanan operasional.
“Tentukan tindakan jelas untuk ketika kunci dicurigai terkompromi, termasuk pencabutan, migrasi dana, dan audit, wajibkan [otentikasi multi-faktor] untuk semua akses ke sistem wallet dan antarmuka penanganan kunci, gunakan akses berbasis kuorum untuk mencegah aktor tunggal dari mengkompromikan dana, [dan] terapkan cadangan terenkripsi yang tersebar secara geografis dengan prosedur pemulihan yang jelas untuk memastikan ketahanan tanpa memusatkan risiko,” terang dia.
Yasmanovych juga menekankan pentingnya mengetahui apa yang harus dilakukan setelah eksploitasi ini terjadi.
“Jika Anda mencurigai wallet kripto Anda telah terkompromi, bertindaklah segera: Laporkan insiden tersebut ke penegak hukum dan libatkan profesional forensik kripto, lacak dana yang dicuri menggunakan alat analisis chain untuk memantau pergerakan dan mengidentifikasi mixer atau exchange yang terlibat, [dan] ajukan permintaan ke exchange dengan data KYC untuk upaya pembekuan dana,” tambahnya.
Meski dengan langkah-langkah ini, kenyataannya adalah bahwa kerentanan di sisi pengguna terus menyebabkan kerugian.
Tantangan Berkelanjutan Kerentanan Pengguna dalam Mobile Wallet
Bahkan dengan langkah-langkah keamanan proaktif, keteraturan kerugian dana yang terus berlanjut menimbulkan kekhawatiran yang signifikan. Keteraturan peristiwa ini menyoroti tantangan berkelanjutan dari kerentanan di sisi pengguna saat menggunakan wallet seluler.
Jalan menuju Web3 yang lebih aman secara inheren memerlukan keseimbangan antara protokol keamanan yang kuat dan kesiapan pengguna yang proaktif. Oleh karena itu, komitmen berkelanjutan terhadap edukasi pengguna dan adopsi luas dari langkah-langkah perlindungan ini tetap penting untuk secara efektif mengurangi eksploitasi dan menciptakan lingkungan yang lebih aman di seluruh industri.
Penyangkalan
Seluruh informasi yang terkandung dalam situs kami dipublikasikan dengan niat baik dan bertujuan memberikan informasi umum semata. Tindakan apa pun yang dilakukan oleh para pembaca atas informasi dari situs kami merupakan tanggung jawab mereka pribadi.
Selain itu, sebagian artikel di situs ini merupakan hasil terjemahan AI dari versi asli BeInCrypto yang berbahasa Inggris.
