Insiden pencurian XRP senilai $3 juta menguras dompet Ellipal milik seorang pensiunan AS, mengungkap industri predator yang memangsa korban setelah peretasan.
Investigator blockchain ZachXBT, yang melacak kerugian $3,05 juta melalui lebih dari 120 pertukaran lintas-rantai, memperingatkan bahwa sebagian besar perusahaan membebankan biaya yang sangat tinggi kepada pengguna yang putus asa untuk janji-janji kosong pengembalian dana.
Insiden ini bermula ketika Brandon LaRoque menemukan bahwa 1,2 juta XRP miliknya telah dikuras dari dompet Ellipal-nya pada awal bulan ini. Yang perlu dicatat, jarahan tersebut, bernilai $2,88 juta pada kurs saat ini, merupakan tabungan seumur hidup pensiunan berusia 54 tahun tersebut, yang dikumpulkan sejak 2017.
Dia percaya dana-dananya aman dalam penyimpanan dingin (cold storage). Namun kemudian, LaRoque mengetahui bahwa mengimpor frasa benih (seed phrase) ke aplikasi seluler Ellipal secara efektif mengubah pengaturan tersebut menjadi dompet panas (hot wallet).
Investigasi on-chain ZachXBT menemukan bahwa penyerang mengkonversi XRP yang dicuri melalui 120 transaksi jembatan Ripple-ke-Tron. Mereka memanfaatkan Bridgers (sebelumnya SWFT), sebelum mengkonsolidasikan dana di Tron.
Dalam tiga hari, aset tersebut menghilang ke meja OTC yang terkait dengan Huione. Departemen Keuangan AS baru-baru ini memberikan sanksi kepada jaringan pembayaran Asia Tenggara tersebut karena mencuci miliaran dolar dari penipuan, perdagangan manusia, dan kejahatan siber.
Kasus ini mengungkap kelemahan utama dalam penegakan hukum global dengan menghubungkan pencurian XRP ke jaringan Huione. Otoritas AS mengatakan Huione telah memfasilitasi lebih dari $15 miliar dalam transfer ilegal.
Kelemahannya adalah bahwa meskipun jejak blockchain bersifat publik, jalur pencucian lintas yurisdiksi tetap sulit untuk diganggu.
Sementara penegak hukum sering kesulitan untuk merespons dengan cepat, ZachXBT mengatakan ekonomi pemulihan telah muncul untuk mengeksploitasi keputusasaan korban.
Banyak perusahaan semacam itu, tambahnya, mengandalkan SEO dan penargetan media sosial untuk memikat korban. Mereka sering hanya memberikan laporan blockchain yang dangkal atau memberi tahu klien untuk "menghubungi bursa."
Lapisan eksploitasi sekunder ini telah mengubah banyak peretasan bernilai tinggi menjadi kejahatan multi-tahap. Pertama, oleh peretas, dan kemudian oleh operator pemulihan palsu yang berjanji untuk mengklaim kembali dana yang, pada kenyataannya, sudah lama hilang.
Di luar jejak pencucian uang, kasus Ellipal kembali memicu perdebatan seputar keamanan self-custody. Kebingungan korban antara dompet dingin Ellipal dan dompet panas berbasis aplikasinya mencerminkan masalah desain dompet yang tidak jelas dan kesenjangan edukasi pengguna.
Peluang untuk memulihkan $3 juta milik LaRoque sangat kecil, di tengah sedikitnya unit penegak hukum yang dilengkapi untuk menangani kejahatan terkait kripto. Tantangan meningkat dengan jaringan pencucian uang lintas batas seperti Huione yang berkembang pesat.
Namun, tragedi sebenarnya, menurut ZachXBT, adalah bahwa gelombang kerugian berikutnya mungkin tidak datang dari peretas, tetapi dari mereka yang mengklaim membantu mendapatkan kembali uang tersebut.