Raksasa game blockchain Animoca Brands mengungkapkan bahwa akun X milik salah satu pendiri dan ketua Yat Siu telah diretas, mempromosikan token palsu di platform Pump.fun milik Solana.

Para penyerang menyamar sebagai Animoca dan secara keliru mengumumkan peluncuran token. Penyelidik blockchain ZachXBT mengaitkan peretasan tersebut dengan penipuan phishing yang baru-baru ini menargetkan lebih dari 15 akun X yang berfokus pada kripto, yang akhirnya mencuri hampir $500.000.

Token ‘MOCA’ Palsu

Akun Siu yang diretas membagikan tautan ke token palsu bernama Animoca Brands (MOCA) di platform Pump.fun, yang memiliki nama yang sama dengan perusahaan dan koleksi NFT Mocaverse miliknya. Token MOCA palsu ini kemudian dilacak kembali ke alamat yang sama di balik token palsu lainnya, ZachXBT mengonfirmasi.

Setelah dipromosikan di akun Siu, token tersebut sempat mencapai nilai puncak hampir $37.000, hanya untuk jatuh beberapa saat kemudian menjadi kapitalisasi pasar hanya $5.735, menurut data yang dikompilasi oleh Birdeye. Saat ini, hanya ada 33 pemegang token tersebut.

ZachXBT sebelumnya telah mengungkap skema phishing canggih ini di mana email phishing yang menyamar sebagai pesan mendesak dari tim X sering kali mengutip masalah hak cipta yang dibuat-buat dan menipu korban untuk mereset kredensial akun mereka.

Skema ini memanfaatkan kredibilitas akun terkait kripto dengan audiens besar. Sebagian besar dari mereka memiliki lebih dari 200.000 pengikut. Akun yang terdampak termasuk Kick, Cursor, The Arena, Brett, dan Alex Blania. Serangan pertama terjadi pada 26 November, melibatkan RuneMine, dan yang terbaru terjadi pada 24 Desember, mempengaruhi Kick, tepat sebelum Siu.

2FA “Tidak Cukup” untuk Mengamankan Akun

Siu menjelaskan bahwa peretas entah bagaimana mendapatkan kata sandinya dan menggunakan halaman pemulihan akun untuk melewati 2FA dengan mengajukan permintaan menggunakan alamat email yang tidak terdaftar. Dia menguji proses ini dan mencatat celah keamanan yang signifikan: sementara sistem memicu pemberitahuan login ke email yang salah, email yang terdaftar sebenarnya tidak menerima peringatan mengenai tindakan kritis seperti permintaan perubahan 2FA.

Dia mengatakan bahwa kurangnya pemberitahuan ini bisa saja mencegah peretasan. Siu juga menambahkan bahwa peretas mengajukan ID yang dikeluarkan pemerintah untuk melewati pemeriksaan keamanan lebih lanjut, taktik yang diduganya difasilitasi oleh phishing. Dia mendesak X untuk menerapkan pemberitahuan yang lebih kuat, terutama untuk perubahan sensitif seperti modifikasi 2FA, dan merekomendasikan langkah verifikasi yang lebih baik untuk melindungi akun.

Siu juga memperingatkan bahwa 2FA saja tidak cukup untuk mengamankan akun dan menyarankan untuk menjaga kebersihan kata sandi yang kuat, karena penyerang dapat melewati 2FA setelah mereka mendapatkan akses ke kata sandi.

Postingan Eksekutif Animoca Brands Menjelaskan Bagaimana Akun X-nya Diretas Meskipun 2FA muncul pertama kali di CryptoPotato.