Wang Chun, salah satu pendiri pool penambangan Bitcoin besar F2Pool, baru-baru ini membagikan anekdot pribadi dari tahun lalu sambil membagikan pendapatnya tentang insiden phishing terpisah yang merugikan orang lain sebesar 50 juta USDT.
Tidak seperti Wang Chun, korban bekerja sama dengan penegak hukum untuk menemukan hacker, tetapi juga telah memberikan jalan keluar bagi mereka berdua.
Wang Chun kehilangan Bitcoin kepada hacker yang 'murah hati'
Menurut postingan Wang Chun, insiden yang ia gambarkan dalam postingannya terjadi pada suatu waktu tahun lalu, dan berbeda dari penipuan biasa karena pendiri bersama F2Pool sudah mencurigai ada yang tidak beres dengan dompet tersebut.
Dalam postingannya, ia mengingat kembali kecurigaannya bahwa salah satu kunci pribadi dompetnya telah disusupi. Untuk menentukan apakah dompet tersebut sedang dipantau secara aktif oleh hacker, Wang Chun mengklaim ia dengan sengaja mengirim 500 BTC.
Mengapa ia mengirim jumlah yang begitu besar tidak ada yang tahu, tetapi mungkin saja ia membutuhkan umpan yang cukup besar untuk memancing respons dari hacker yang memantau dompet tersebut. Nah, ia mendapatkan apa yang ia cari karena segera setelah dana masuk ke dompet, hacker mulai beraksi.
Namun, menurut Wang Chun, hacker ini tidak sepenuhnya serakah dan hanya menguras 490 Bitcoin, meninggalkan 10 di belakang, yang menyebabkan Wang secara sarkastis menjuluki penyerang tersebut "murah hati." Ia bercanda bahwa mereka bisa menguras seluruh akun tetapi memilih untuk meninggalkan cukup untuk "penghidupan dasarnya."
Postingan Wang memperjelas bahwa ini bukan eksploitasi tradisional atau kehilangan yang tidak disengaja; itu adalah dirinya yang sengaja menguji untuk menghilangkan keraguan. Dan ia benar. Meskipun itu merugikannya 490 Bitcoin.
Wang membagikan alamat hacker, "14H12PpQNzrS1y1ipjF4mPuVgQEpgfGA79," sebagai referensi, tetapi tidak mengatakan apa pun tentang melacak hacker tersebut atau mencoba memulihkan dana yang dicuri.
Di bagian komentar, pengguna berkomentar dengan kebingungan dan skeptisisme. Mereka ingin tahu mengapa ia harus menguji kecurigaannya dengan jumlah yang begitu besar. Beberapa bahkan menyiratkan bahwa ia hanya mencoba bersikap santai dan bahwa ia sebenarnya mengirim BTC tanpa mengetahui dompet telah disusupi.
Yang lain mengolok-oloknya karena mengklaim ia membutuhkan 10 BTC untuk "penghidupan dasarnya."
Apakah seseorang kehilangan $50 juta karena phishing?
Wang Chun membagikan kisah pengalamannya tahun lalu sebagai tanggapan terhadap postingan tentang insiden phishing yang terjadi pada 20 Desember, di mana Cryptopolitan melaporkan bahwa korban kehilangan hingga 50 juta USDT.
Pendiri bersama F2Pool menyebut peristiwa tersebut sangat disayangkan, karena ia berharap pengguna akan mendapatkan dananya kembali. Dana tersebut hilang setelah pengguna yang terkena dampak secara keliru mengirim hampir $50 juta dalam USDT ke alamat penipuan dalam apa yang telah ditandai sebagai serangan address poisoning klasik.
Menurut investigator on-chain Web3 Antivirus, korban kehilangan 49.999.950 USDT setelah menyalin alamat dompet berbahaya dari riwayat transaksi mereka. Pengguna sebenarnya berhati-hati, menurut data on-chain, karena mereka awalnya mengirim transaksi uji kecil sebesar $50 ke alamat yang benar.
Namun, penipu segera memalsukan dompet dengan empat karakter awal dan akhir yang sama, kemudian melakukan serangan address poisoning. Ini berhasil karena banyak dompet menyembunyikan bagian tengah alamat dengan "…" untuk membuat UI terlihat lebih baik.
Sebagian besar CT terbiasa dengan ini, dan banyak pengguna akan sering menyalin alamat dari riwayat transaksi, biasanya hanya memeriksa huruf awal dan akhir. Korban tidak berbeda.
Saat mentransfer sisa 49.999.950 $USDT, korban menyalin alamat palsu dari riwayat transaksinya, memeriksa huruf awal dan akhir, dan beberapa menit kemudian mengirim transfer penuh $50 juta ke alamat yang diracuni.
Peneliti keamanan Cos, pendiri SlowMist, telah mengkonfirmasi memang ada kesamaan antara alamat-alamat tersebut, dan meskipun halus, itu cukup untuk menipu bahkan pengguna berpengalaman. "Anda dapat melihat 3 karakter pertama dan 4 karakter terakhir sama," tulisnya.
Penyerang sejak itu telah menukar USDT yang dicuri dengan Ether, membaginya ke beberapa dompet, dan sebagian memindahkannya ke Tornado Cash. Namun, pengguna yang terkena dampak, tidak seperti Wang Chun, tidak membiarkan dana tersebut pergi dan telah bekerja sama dengan penegak hukum untuk melacak hacker.
Pengguna telah mengirim pesan on-chain kepada hacker, mengungkapkan bahwa mereka telah mengajukan kasus kriminal dan, dengan bantuan penegak hukum dan agensi lainnya, mengumpulkan informasi tentang aktivitas hacker.
Menurut pesan tersebut, hacker memiliki kesempatan terakhir untuk pergi dari insiden ini tanpa konsekuensi hukum. Hacker diharuskan mengirim kembali 98% dari dana yang dicuri dalam waktu 48 jam dan telah disarankan untuk menyimpan $1.000.000 untuk mengidentifikasi kerentanan. Tawaran tersebut bergantung pada kerja sama langsung mereka.
Jika gagal mematuhi, pengguna berjanji untuk meningkatkan investigasi dan mengungkap identitas hacker sambil mengejar tindakan perdata dan pidana hingga keadilan benar-benar ditegakkan.
Ini bukan pertama kalinya penipuan address poisoning seperti itu terjadi, tetapi menurut Ethereum Community Foundation, ini harus menjadi yang terakhir kalinya. Untuk itu, ECF telah menyerukan "mengakhiri praktik memotong alamat dengan titik-titik."
Menurut yayasan tersebut, semua layar sekarang dapat menampilkan alamat lengkap, jadi menyembunyikan karakter tengah hanya berfungsi untuk menciptakan risiko yang dapat dihindari.
"Dompet dan block explorer terus mengirimkan pilihan UI yang secara aktif merusak keamanan pengguna," tulis yayasan tersebut di X. "Ini dapat dipecahkan."
Dapatkan hingga $30.050 dalam hadiah trading saat Anda bergabung dengan Bybit hari ini
Sumber: https://www.cryptopolitan.com/f2pool-co-founder-bitcoin-loss-to-hacker/
