Seorang peretas telah menargetkan pengguna cryptocurrency OG sejak bulan Desember, menguras dompet mereka dan membingungkan para ahli.

Industri kripto memiliki banyak peretas. Gambar: Shutterstock

Peretasan senilai $10 juta yang menargetkan pengguna enkripsi canggih membuat pakar keamanan terkemuka bingung.

Taylor Monahan, mantan CEO dan pendiri perusahaan manajemen dompet ethereum MyCrypto, mentweet pada hari Selasa bahwa lebih dari 5,000 ETH telah dicuri sejak Desember.

Pada harga saat ini, nilainya lebih dari $10,4 juta dalam mata uang kripto.

Mengkhawatirkan? Menurut Monahan, ini mengenai dompet perangkat keras bagi pengguna yang memprioritaskan keamanan.

“Selama 48 jam terakhir saya mengalami pengurasan dompet secara besar-besaran,” tulis Monahan, yang bergabung dengan MetaMask tahun lalu setelah MyCrypto diakuisisi oleh induk dompet kripto, ConsenSys. “Orang-orang lebih akrab dengan mata uang kripto dibandingkan kebanyakan orang, dan ‘cukup aman’ jika terkena kerugian uang,” katanya di Twitter.

Dengan kata lain, ini bukanlah tautan phishing yang jelas-jelas diklik oleh pemula kripto, ini adalah tautan yang sedang dikuras. Serangannya jauh lebih kompleks dari itu, dan OG-lah yang “rekt”. Monahan menjelaskan, “Tidak ada yang tahu bagaimana melakukannya.”

Tim keamanan di balik dompet kripto populer MetaMask mengatakan kepada wartawan bahwa "kerentanan yang tidak teridentifikasi" menimpa pengguna kripto, termasuk namun tidak terbatas pada pengguna MetaMask.

Mereka berkata, “Perilaku on-chain sangat mengarah pada kompromi kunci pribadi. Investigasi saat ini menunjukkan bahwa vektor serangan spesifik ini tampaknya mengarah pada frase pemulihan rahasia para pengguna yang disusupi di suatu tempat, mungkin karena akses yang tidak disengaja ke frase penyimpanan tidak aman tersebut. "

Pengguna kripto menggunakan kunci pribadi untuk mengakses dana mereka yang disimpan di dompet dan mengotorisasi transaksi, baik digital maupun fisik.

Monahan juga mengatakan serangan itu menargetkan dana di dompet yang dibuat antara tahun 2014 dan 2022. "Dugaan saya saat ini adalah seseorang secara metodis menghabiskan data ini dengan mengurai kunci dari harta karun itu setahun yang lalu," tulis Monahan di Twitter.

Dia kemudian menekankan bahwa ini hanyalah spekulasi dan tidak ada yang bisa "menentukan sumber kompromi mereka."

Saran terbaiknya?

“Tolong jangan menyimpan semua aset Anda dalam tahap kunci atau rahasia selama bertahun-tahun,” ujarnya.

Tim keamanan MetaMask menambahkan bahwa untuk melindungi dana, pengguna tidak diperbolehkan menyimpan kunci pribadi mereka di mana pun secara online atau di “perangkat yang mendukung internet”.

Mereka menambahkan, “Jika dompet Anda sudah sangat tua sehingga Anda tidak dapat mengingat apakah Anda telah 100% rajin menggunakan kuncinya, silakan pertimbangkan untuk membuat dompet baru.”