Para pengguna aset kripto harus makin waspada nih! Firma keamanan blockchain SlowMist baru saja merilis laporan Q2 MistTrack Stolen Fund Analysis yang mengejutkan. Mereka menemukan bahwa di kuartal kedua tahun ini, serangan kripto lebih banyak memanfaatkan sisi psikologis dan emosional korban, dibanding kecanggihan teknis.
Modus Penipuan Makin Licik dan Manipulatif
Lisa, Kepala Operasional SlowMist, menjelaskan bahwa meskipun metode peretasan secara teknis tidak banyak berubah, tingkat kecanggihan penipuan justru meningkat tajam. Para penjahat kini bermain dengan pikiran korbannya, menggunakan cara-cara yang lebih kreatif untuk menguras aset digital.
“Jika melihat kembali kuartal kedua, satu tren paling mencolok adalah: metode serangan tidak semakin kompleks secara teknis, namun semakin licik dan manipulatif secara psikologis,” kata Lisa.
Intinya, serangan sudah bergeser dari langsung menyerbu blockchain (on-chain) ke titik-titik masuk eksternal seperti ekstensi browser, akun media sosial, proses otentikasi, dan bahkan kebiasaan kita sebagai pengguna.
Waspada Ekstensi Browser Palsu yang Jadi “Serigala Berbulu Domba”
Salah satu trik baru yang marak adalah ekstensi browser palsu yang menyamar sebagai alat keamanan. Contohnya ada ekstensi Chrome bernama “Osiris” yang katanya bisa mendeteksi tautan phishing. Tapi jangan salah, ekstensi ini justru jahat!
“Osiris” ini ternyata mencegat semua unduhan file .exe, .dmg, dan .zip, lalu menggantinya dengan program berbahaya. Yang lebih parah, penyerang bahkan mengarahkan korban ke situs populer seperti Notion atau Zoom.
“Saat pengguna mencoba mengunduh aplikasi dari situs resmi tersebut, file-nya sudah dimodifikasi secara jahat — tetapi tetap terlihat seolah berasal dari sumber asli, sehingga nyaris mustahil dideteksi,” jelas Lisa.
Program jahat ini kemudian mencuri data-data sensitif dari komputer kamu, seperti data login Chrome, seed phrase, private key, dan kata sandi wallet kripto. Ngeri banget, kan?
Wallet Kripto Fisik Palsu & Penipuan Media Sosial
Modus lain yang nggak kalah licik adalah mengirimkan wallet kripto fisik (cold wallet) yang sudah dimodifikasi ke korban. Modusnya beragam, mulai dari klaim “menang undian” sampai peringatan kalau wallet lama korban sudah disusupi.
Baca Juga Kripto vs Politik, Pertarungan Besar Dimulai di New York
Di kuartal kedua, SlowMist mencatat ada korban yang kehilangan $6,5 juta setelah membeli wallet palsu yang dia lihat di TikTok. Ada juga pelaku yang menjual wallet yang sudah diaktifkan sebelumnya, jadi begitu dana ditransfer, aset pengguna langsung ludes.
Rekayasa Sosial Lewat Situs “Revoke” Palsu
SlowMist juga menangani kasus korban yang nggak bisa mencabut (revoke) smart contract authorization yang mencurigakan. Setelah diselidiki, ternyata korban menggunakan situs phishing yang meniru tampilan situs Revoke.cash. Situs palsu ini meminta pengguna memasukkan private key mereka untuk “memeriksa tanda tangan berisiko”.
“Kami menemukan bahwa situs tersebut menggunakan EmailJS untuk mengirim data pengguna — termasuk private key dan alamat wallet— langsung ke email pelaku,” kata Lisa. Duh, bahaya banget ya!
Serangan Emosional: Memanfaatkan Kepanikan dan Kepercayaan
Lisa menjelaskan bahwa mayoritas serangan rekayasa sosial ini sebenarnya tidak terlalu canggih secara teknis. Tapi, mereka sangat efektif karena mengeksploitasi rasa panik dan kepercayaan pengguna.
“Penyerang tahu bahwa istilah seperti ‘tanda tangan berisiko terdeteksi’ bisa memicu kepanikan. Begitu emosi tersebut muncul, lebih mudah bagi mereka untuk memanipulasi pengguna agar mengklik tautan atau menyerahkan informasi sensitif,” terang Lisa.
Modus Lain: Update Ethereum & Penipuan WeChat
Selain itu, SlowMist juga mencatat adanya serangan yang memanfaatkan pembaruan Ethereum (EIP-7702) melalui upgrade Pectra, serta penipuan di aplikasi WeChat. Di WeChat, pelaku mengambil alih akun korban dan menyamar sebagai pemilik asli untuk menjual USDT palsu dengan harga diskon.
Kuartal Kedua: $12 Juta Berhasil Diselamatkan!
Meski serangan meningkat, ada kabar baiknya nih! Selama kuartal kedua, SlowMist menerima 429 laporan pencurian dana kripto. Dari semua laporan tersebut, SlowMist berhasil membekukan dan memulihkan dana sekitar $12 juta milik 11 korban. Ini menunjukkan pentingnya peran firma keamanan blockchain dalam membantu para korban.