$24M Pencurian Phishing: Bagaimana Persetujuan Token Menjadi Tiket Emas Hacker

Ingat dengan paus Ethereum besar yang kehilangan $24 juta pada September 2023? Plot twist—dana mereka yang dicuri baru saja muncul di blockchain minggu lalu, dan buku pedoman peretas mengungkapkan sesuatu yang jauh lebih berbahaya daripada kebocoran kata sandi sederhana.

Berikut adalah apa yang terjadi:

Korban terkena phishing dan menyetujui kontrak jahat, mengira itu sah. Satu klik itu? Permainan berakhir. Penyerang menguras 9.579 stETH dan 4.851 rETH dari Rocket Pool dalam dua transaksi terpisah. Pada 21 Maret, tim CertiK melihat hacker memindahkan 3.700 ETH (~$10M) langsung ke Tornado Cash untuk menutupi jejak mereka. Total hasil serangan penyerang dikonversi menjadi 13.785 ETH dan 1,64 juta DAI—sebuah buku panduan pencucian uang klasik di rantai.

Masalah Sebenarnya: Persetujuan Token Adalah Vektor Serangan Baru

Serangan phishing bukan hanya sekadar phishing lagi. Menurut Scam Sniffer, fungsi “Increase Allowance” adalah penyebabnya—fungsi ini memungkinkan peretas menguras token Anda tanpa batas setelah Anda memberikan izin. Bulan lalu saja, hampir $47 juta hilang dari skema phishing, dengan 78% terjadi di Ethereum dan 86% melibatkan token ERC-20.

Kemudian ada masalah Dolomite. Pada 20 Maret, kontrak yang sudah usang dieksploitasi untuk mencuri $1,8 juta dari pengguna yang sudah menyetujuinya. Minggu yang sama, Layerswap terkena kompromi—peretas menguras $100K dari 50 pengguna sebelum penyedia domain menutupnya dengan cepat. Layerswap melakukan pengembalian dana + kompensasi, tetapi kerusakannya nyata.

Apa Artinya Ini Untuk Anda

Persetujuan token seperti menandatangani cek kosong kepada orang asing. Satu kontrak jahat. Satu klik ceroboh. Dan tiba-tiba seluruh portofolio Anda bisa lenyap. Pelajaran? Cabut persetujuan lama. Periksa kembali alamat kontrak. Jangan pernah menyetujui token tanpa batas.

Komunitas kripto mulai menyadari ancaman ini, tetapi pendidikan dan alat keamanan yang lebih baik tidak bisa datang cukup cepat.