Peretas kripto berada di jalur untuk tahun bonanza saat pencurian melonjak, kata Chainalysis

Oktober adalah "bulan terbesar dalam tahun terbesar" bagi peretas cryptocurrency, dengan US$718 juta dicuri dari situs keuangan terdesentralisasi di 11 peretasan berbeda, menurut ke Chainalysis, sebuah perusahaan berbasis di AS yang melacak data tersebut. 

Pada tingkat ini, 2022 akan melampaui 2021 sebagai tahun terbesar untuk peretasan dalam catatan, dengan lebih dari US$3 miliar dicuri sejauh ini di setidaknya 125 peretasan, kata perusahaan itu. Angka untuk tahun 2021 adalah US$3.2 miliar.

Decentralized Finance (DeFi) menonjol sebagai target pilihan baru bagi para peretas, dengan DeFi mewakili hampir 99% dari total kerugian akibat eksploitasi pada Juli hingga September, menurut a melaporkan oleh platform layanan keamanan yang berbasis di Singapura Immunefi.

“Hanya beberapa tahun yang lalu, pertukaran terpusat sejauh ini merupakan target peretasan yang paling sering di industri cryptocurrency,” Kimberly Grauer, kepala penelitian di Chainalysis, mengatakan kepada forkast dalam email. 

“Saat ini, peretasan pertukaran terpusat yang berhasil jarang terjadi karena organisasi ini memprioritaskan keamanan mereka… sekarang peretas selalu mencari layanan terbaru dan paling rentan.”

Jembatan lintas rantai sangat rentan, dengan jurusan mengeksploitasi dari Binance Bridge minggu lalu menambah tiga peretasan jembatan utama bulan ini, dengan total US$600 juta. Eksploitasi jembatan menyumbang lebih dari setengah dari semua kerugian akibat peretasan tahun ini, tambah Chainalysis. 

“Desain jembatan masih merupakan tantangan teknis yang belum terselesaikan, dengan banyak model baru yang sedang dikembangkan dan diuji,” kata Grauer. “Desain yang bervariasi ini menghadirkan peluang serangan baru yang dapat dieksploitasi oleh aktor jahat.”

Peretas terorganisir, seperti Lazarus Group yang didukung negara Korea Utara, telah menjadi yang paling canggih dalam hal eksploitasi dan pencucian dana curian, katanya. Chainalysis memperkirakan bahwa pada tahun 2022, kelompok yang terkait dengan Korea Utara telah mencuri setidaknya US$1 miliar mata uang kripto dari protokol DeFi. 

Tidak ada yang baru

Namun, "teknik yang kami lihat digunakan dalam serangan Oktober ini sebagian besar bukanlah hal baru," kata Jasper Lee, pemimpin teknologi audit di Sooho.io, dalam email ke forkast.

Masalah mendasarnya adalah bahwa banyak protokol DeFi dan dApps diluncurkan tanpa “keamanan yang tepat”, dengan penyerang memilih “hasil yang paling rendah,” kata Lee. 

Peretasan sudah mencapai tahun pemecahan rekor pada bulan Juli, tetapi Chainalysis data menunjukkan volume bulanan dari total aktivitas terlarang yang melibatkan crypto menurun selama paruh pertama tahun 2022 karena pasar merosot.

“Untuk penjahat dunia maya, muatan yang terkait dengan meretas sesuatu seperti Wintermute atau Pengembara jauh lebih menguntungkan daripada mengejar individu, ”kata Henry Chambers, direktur senior di Alvarez & Marsal Disputes and Investigations.

Chambers, anggota pendiri Jaringan Penipuan Crypto dan Pemulihan Aset (CFAAR) di Hong Kong, mengatakan penurunan harga mungkin juga telah mengurangi jumlah investor yang tidak berpengalaman yang tertarik pada crypto.

Demografi ini akan menjadi target utama penipu dan scammer crypto, dan ketidakhadiran mereka dapat berkontribusi pada peretasan yang melampaui bentuk aktivitas terlarang lainnya, kata Chambers. 

CFAAR diluncurkan di Inggris pada tahun 2021 dan membuka gerainya di Hong Kong tahun ini dengan tujuan untuk meningkatkan kesadaran pemulihan aset kripto dan membuat adopsi aset digital lebih aman dan terjamin. 

Tetap cerdas

DeFi dan cryptocurrency menarik penjahat dunia maya karena transaksi cepat dan nama samaran blockchain, kata Jonathan Crompton, mitra firma hukum RPC dan anggota pendiri CFAAR Hong Kong Chapter lainnya.

Kurangnya lembaga keuangan tradisional yang terpusat dapat menarik bagi banyak pengguna, tetapi juga dapat menyebabkan mereka lebih sering menjadi korban penipuan dan peretasan dan pemulihan lebih sedikit. Secara total, hanya 4% dari dana crypto yang hilang yang dipulihkan pada tahun 2022, menurut Immunefi. 

Crompton menyimpulkan bahwa cara terbaik untuk menanggapi kasus peretasan atau penipuan crypto tetap untuk menghindarinya sejak awal — kesadaran yang lebih baik dan praktik pencegahan adalah kuncinya. 

Berita peretasan yang memecahkan rekor juga dapat menyebabkan investor menghindari DeFi sama sekali, kata Henry Liu, kepala eksekutif pertukaran aset kripto BTSE, kepada forkast dalam email.

“Ruang tetap tidak ramah bagi investor ritel khususnya, yang tidak memiliki keahlian untuk menilai keamanan platform investasi pilihan mereka dengan tepat,” kata Liu. 

Menurut Chainalysis 'Grauer: "Meskipun tidak mudah, langkah pertama yang berharga untuk mengatasi masalah seperti ini adalah audit kode yang sangat ketat untuk menjadi standar emas DeFi, baik untuk protokol bangunan tersebut maupun untuk investor yang mengevaluasinya."

Grauer menambahkan bahwa pemulihan aset menjadi lebih maju. Dana US$30 juta dipulihkan dari lebih dari US$625 juta eksploitasi jembatan Axie Infinity yang dilakukan oleh kelompok Lazarus Korea Utara awal tahun ini, mewakili pemulihan pertama dari para peretas terkenal.