Kehilangan $400 Juta Dolar FTX Mengungkap Bagaimana Penipuan SIM Swap Menghindari Keamanan Kripto

Ketika FTX runtuh pada November 2022, regulator dan komunitas kripto bergegas untuk memahami bagaimana peretas menguras $400 juta dari dompet pertukaran. Tuduhan federal terbaru akhirnya memberikan jawaban – tetapi juga menimbulkan pertanyaan yang tidak nyaman tentang apa yang sebenarnya terjadi dan siapa yang bertanggung jawab.

Skema Pertukaran SIM yang Mengguncang Keamanan FTX

Pada Januari 2024, Kantor Kejaksaan AS untuk Distrik Columbia mengungkapkan tuduhan terhadap Robert Powell, Carter Rohn, dan Emily Hernandez – tiga individu yang dituduh merencanakan serangan yang canggih namun mengejutkan sederhana: pertukaran SIM.

Ini cara kerjanya: Para terdakwa diduga memperoleh informasi pribadi dari lebih dari 50 korban, kemudian menggunakan dokumen palsu untuk menipu penyedia telekomunikasi agar memindahkan nomor telepon korban tersebut ke perangkat baru di bawah kendali mereka. Dengan mengalihkan nomor telepon ke kartu SIM mereka sendiri, para penipu mengintersepsi kode otentikasi dua faktor – penjaga digital yang melindungi akun keuangan.

Setelah mereka memiliki kode-kode tersebut, mengakses akun FTX menjadi mudah. Ketika pemegang akun yang sah mencoba untuk mengautentikasi login, teks autentikasi dikirim ke telepon para penjahat. Para penipu hanya menggunakan kode-kode tersebut untuk menyamar sebagai pemegang akun dan menguras saldo mereka.

Indictment menggambarkan serangan terbesar yang sesuai dengan pola ini, dengan tanggal dan jumlah yang selaras dengan pengumuman kebangkrutan publik FTX. Sumber federal telah mengkonfirmasi bahwa FTX adalah “Perusahaan Korban-1” yang tidak disebutkan namanya dalam dakwaan.

Celah Kritis: Siapa Sebenarnya yang Mencuri Uang?

Inilah yang membuat kasus ini membingungkan: sementara Powell, Rohn, dan Hernandez didakwa mencuri informasi pribadi dan menjual kode otentikasi, dakwaan tersebut secara mencolok mengecualikan mereka saat menggambarkan pencurian dana FTX yang sebenarnya.

Sebaliknya, dakwaan tersebut merujuk pada “rekan konspirator” yang tidak disebutkan namanya yang “mendapat akses tidak sah ke akun FTX” dan “mentransfer lebih dari $400 juta dalam mata uang virtual” ke dompet yang mereka kendalikan. Dalam praktik hukum standar, jaksa menamai terdakwa ketika merinci tindakan yang mereka lakukan. Ketidakhadiran ketiga tersangka ini dalam pencurian terakhir menunjukkan bahwa orang lain yang melaksanakan pencurian itu sendiri.

Detail linguistik ini penting. Sementara judul berita menyatakan “misteri terpecahkan,” dakwaan dengan tenang menyimpan pelaku inti dalam bayangan. Arsitek sejati dari peretasan FTX mungkin tetap tidak disebutkan – setidaknya untuk saat ini.

Mengapa SIM Swap Bekerja dan Mengapa Regulator Khawatir

Pertukaran SIM berhasil karena memanfaatkan kelemahan mendasar dalam infrastruktur keamanan modern. Perusahaan telekomunikasi bergantung pada verifikasi identitas yang relatif dasar – pertanyaan yang dapat dijawab penipu dengan informasi pribadi yang dicuri. Sementara itu, pertukaran kripto, bank, dan platform teknologi menganggap otentikasi berbasis SMS sebagai perlindungan yang cukup.

Bagi para penjahat, pertukaran SIM menawarkan kombinasi yang ideal: biaya rendah, minimal kecanggihan teknis, dan keberhasilan yang terbukti. Ini adalah penipuan dasar yang dilakukan secara besar-besaran.

Regulator federal mulai memperhatikan. Pada bulan Desember 2023, Komisi Komunikasi Federal mengeluarkan aturan baru yang mengharuskan penyedia nirkabel untuk memperkuat autentikasi pelanggan sebelum memproses transfer SIM. Sementara itu, SEC baru-baru ini mengalami serangan tukar SIM sendiri – pengingat memalukan bahwa bahkan lembaga pengatur pun tetap rentan.

Persyaratan pengungkapan keamanan siber baru SEC memperburuk tekanan ini. Pertukaran yang diatur di AS kini harus mendokumentasikan protokol keamanan mereka, menunjukkan prosedur manajemen risiko, dan menjalani audit eksternal. Persyaratan ini memastikan pelanggan memahami perlindungan apa yang telah diterapkan oleh perusahaan.

Apa Artinya Ini bagi Perusahaan dan Pengguna Crypto

Indictment Powell mengungkapkan kebenaran yang tidak nyaman: industri kripto bergantung pada standar keamanan yang sudah berusia beberapa dekade dan semakin tidak memadai. Kejatuhan FTX sebagian disebabkan oleh vektor serangan primitif yang seharusnya sudah dinetralkan sejak lama.

Untuk pertukaran yang beroperasi di AS, jalur ke depan sudah jelas: adopsi langkah-langkah keamanan yang melebihi standar minimum regulasi. Ini termasuk beralih dari otentikasi dua faktor berbasis SMS menuju alternatif yang lebih aman seperti kunci perangkat keras atau aplikasi autentikator. Ini memerlukan protokol verifikasi identitas yang ketat yang tahan terhadap rekayasa sosial. Yang paling penting, ini menuntut transparansi – pelanggan berhak mengetahui langkah-langkah keamanan apa yang telah diterapkan oleh pertukaran mereka.

Platform lepas pantai menghadapi tekanan yang berbeda. Tanpa pengawasan SEC, mereka tidak dapat bersembunyi di balik kepatuhan regulasi sebagai poin penjualan. Sebaliknya, persaingan pasar akan semakin menghargai mereka yang secara sukarela mengadopsi praktik keamanan siber yang transparan. Perusahaan yang menolak pengungkapan semacam itu akan menghadapi pelanggan yang skeptis – dengan alasan yang dapat dibenarkan, mengingat pendekatan FTX yang tidak transparan terhadap tata kelola keamanan.

Peretasan FTX dan tuduhan Powell menggambarkan realitas yang tidak terhindarkan: infrastruktur cryptocurrency hanya seaman tautan terlemahnya. Tautan itu sering kali bukanlah teknologi blockchain itu sendiri, tetapi sistem autentikasi yang berhadapan langsung dengan manusia yang menjaga akses ke dompet dan akun. Sampai industri mengatur pertahanan terhadap pertukaran SIM dan serangan serupa, baik regulator maupun pengguna tidak dapat mempercayai bahwa pencurian lain sebesar $400 juta tidak akan terjadi lagi.