Penulis: Frank, PANews
Di hutan gelap enkripsi, peretas mengawasi aset dalam rantai dan menunggu peluang. Di antara banyak korban phishing, paus yang melakukan phishing sebesar 1,155 Bitcoin adalah yang beruntung pada akhirnya.
"Kasus phishing" ini diawasi ketat oleh komunitas karena jumlahnya yang sangat besar. Ceritanya dimulai pada tanggal 3 Mei, ketika seorang pengguna paus kehilangan 1.155 WBTC, senilai sekitar US$70 juta, ketika ia di-phishing oleh seorang peretas dengan alamat yang sama. . Selanjutnya, peretas mengubah seluruh WBTC menjadi 22,955 ETH dan mentransfernya ke lusinan akun. Pada tanggal 4 Mei, korban mulai berteriak kepada peretas melalui pesan on-chain, meminta pihak lain untuk menyimpan 10% dan mengembalikan 90% sisanya. Selain itu, alamat ETH keduanya juga telah menjadi ruang komunikasi terpusat, dan banyak alamat yang berpartisipasi dalam pencarian koin. Hingga 9 Mei, peretas membalas korban dengan memintanya meninggalkan pesan telegram dan mengatakan akan berinisiatif menghubunginya.
Pada tanggal 9 Mei, peretas mulai mengembalikan ETH kepada korban, dan akhirnya mengembalikan semua ETH. Apakah peretas melakukan ini di bawah tekanan atau karena hati nuraninya? PANews mendapat beberapa wawasan tentang alasannya berdasarkan pertukaran informasi di rantai tersebut.
Pemburu hadiah menghalangi peretas
Sejak tanggal 4 Mei, korban telah berkali-kali meneriaki peretas tersebut. Selain mengatakan bahwa ia dapat memberikan 10% kepada pihak lain, ia juga mengatakan bahwa ia tidak memposting apa pun di Twitter, dan menasihati peretas tersebut: Kita semua tahu itu. 7 juta pasti akan membuat hidup Anda lebih baik, tetapi 70 juta tidak akan membuat Anda tidur nyenyak.
Sayangnya, setelah ditelepon berkali-kali, belum ada balasan dari sang hacker. Tampaknya tidak ada bukti konklusif di tangan korban untuk mengonfirmasi identitas sebenarnya dari peretas, termasuk fakta bahwa jaringan intelijen ancaman SlowMist hanya menempatkan stasiun pangkalan seluler di Hong Kong, dan tidak mencakup kemungkinan VPN. Oleh karena itu, peretas juga berada dalam kondisi percaya diri.
Hingga tanggal 7 Mei, alamat 0x882c927f0743c8aBC093F7088901457A4b520000 mengirimkan pesan kepada korban yang mengatakan: "Halo, saya salah satu pemrogram ChangeNow. Saya memiliki akses ke database ChangeNow. Peretas telah menggunakan platform ini berkali-kali. Saya dapat membocorkan semua datanya , tetapi saya meminta hadiah sebesar $100,000 sebagai imbalan atas data seperti alamat IP dan alamat bursa tempat dana dikirim, saya hanya dapat memberikan informasi ini sisanya terserah polisi untuk menghubungi bursa dan mengumpulkan data pribadinya, misalnya dengan alamat KYC yang relevan dan lokasinya, harap kirimkan konfirmasi jika Anda ingin melanjutkan kasus ini."
Meskipun korban tidak pernah menanggapi permintaan bounty dari alamat ini, setelah pesan ini, peretas tiba-tiba mentransfer 51 ETH kembali ke korban, dengan permintaan untuk menambahkan akun TG korban.
PANews menemukan melalui analisis on-chain bahwa beberapa akun peretas yang terkait memang berinteraksi dengan bursa ChangeNow. Dana di alamat pemburu hadiah yang memanggil juga ditarik oleh ChangeNow. Mungkin informasi inilah yang menunjukkan kelemahan si peretas dan membuatnya takut pada informan tak dikenal ini.
ChangeNow adalah pertukaran yang sangat diminati oleh para peretas. Secara umum, ini digunakan sebagai alat pencampuran mata uang karena anonimitasnya dan pengecualian KYC. Menurut PANews, jika peretas pernah menggunakan fungsi penukaran mata uang fiat di platformnya, KYC memang diperlukan.
Namun, jika dilihat dari informasi rantai pemburu hadiah dan informasi yang tertinggal, identitas pihak lain tidak dapat dikonfirmasi sebagai anggota staf ChangeNow. Pada akhirnya, dilihat dari informasi di rantai tersebut, tampaknya pemburu hadiah tersebut belum menerima hadiah $100.000 yang dia harapkan.
Korban sebenarnya mungkin adalah seekor kera yang sangat bosan
Pada tanggal 5 Mei, PAULY, orang yang mengungkap identitas pendiri PEPE dan pendiri Pond Coin, berpura-pura menjadi korban kehilangan token di Twitter, mungkin untuk mendapatkan popularitas melalui kejadian ini. Namun analisis PANews menemukan bahwa PAULY bukanlah korban dari kejadian tersebut.
Menurut informasi TG yang ditinggalkan korban di rantai, itu terkait dengan pengguna @BuiDuPh di Twitter. Pengguna diperkenalkan sebagai insinyur perangkat lunak Vietnam. Usai kejadian tersebut, ia berkali-kali meneruskan pemberitaan media mengenai kejadian tersebut. PANews mencoba menghubungi pengguna tersebut tetapi tidak mendapat tanggapan. Pada 12 Mei, pengguna tersebut keluar dari akun Twitter-nya dan menghapus semua konten terkait. Namun, melihat pembaruan Twitter pengguna sebelumnya, kita dapat melihat bahwa pengguna hanya meneruskan beberapa konten yang relevan setelah kejadian tersebut, dan mempertahankan sejumlah besar penayangan dan interaksi dengan konten lain setiap hari juta. Pengguna mungkin juga hanya membantu pemegang token menangani insiden tersebut.
PANews menemukan berdasarkan pelacakan informasi on-chain bahwa pemilik sebenarnya dari token yang hilang kemungkinan besar adalah pengguna @nobody_vault. Nothing_vault adalah pemain NFT terkenal dan pernah menjadi pemegang terbesar Boring Ape NFT. Hingga saat ini, ia masih memegang 49 Boring Ape NFT, dan sebelumnya telah berinvestasi dalam proyek permainan berantai Undeads. Menurut informasi di rantai tersebut, alamat koin yang hilang memiliki sejumlah besar transaksi dengan alamat none_vault.
Para peretas belum berhenti
Menurut informasi di rantai tersebut, terlihat bahwa peretas baru-baru ini melakukan sekitar 25,000 transaksi kecil untuk phishing melalui dua alamat 0x8C642c4bB50bCafa0c867e1a8dd7C89203699a52 dan 0xDCddc9287e59B5DF08d17148a078bD181313EAcC. Sejauh ini, peretas sepertinya belum berniat berhenti. Bahkan setelah mengembalikan 1155WBTC kepada korbannya, peretas terus menggunakan cara tersebut untuk memancing. Selain phishing ini, menurut analisis SlowMist, peretas baru-baru ini menghasilkan lebih dari $1,27 juta melalui metode ini.
Pengguna lain 0x09564aC9288eD66bD32E793E76ce4336C1a9eD00 juga meninggalkan pesan di rantai yang menunjukkan bahwa peretas telah melakukan phishing lebih dari 20 alamat melalui metode ini.
Namun dibandingkan dengan korban yang kehilangan 1,155 WBTC, pengguna lain tampaknya tidak seberuntung itu. Karena jumlahnya yang kecil, korban phishing dalam jumlah kecil ini tidak menarik perhatian publik. Peretas juga tampaknya bebas dari semua tanggung jawab hukum setelah mengembalikan dana tersebut. Mereka tidak hanya terus lolos, namun mereka terus kembali ke cara lama mereka.
Bagi pengguna awam, kejadian ini juga mengingatkan semua orang untuk hati-hati mengkonfirmasi alamatnya sebelum mentransfer uang.
