Serangan rekayasa sosial menjadi ancaman besar bagi keamanan aset enkripsi
Sejak 2025, kejadian penipuan rekayasa sosial yang menargetkan pengguna platform perdagangan tertentu semakin sering terjadi, menarik perhatian luas di industri. Kejadian semacam ini menunjukkan karakteristik yang berkelanjutan dan terorganisir, yang menimbulkan ancaman serius terhadap keamanan aset pengguna.
Pada 15 Mei, sebuah platform perdagangan mengeluarkan pengumuman yang mengonfirmasi spekulasi sebelumnya tentang adanya "mata-mata" internal. Departemen Kehakiman AS telah memulai penyelidikan terhadap insiden kebocoran data tersebut.
Tinjauan Peristiwa
Selama tahun lalu, beberapa detektif blockchain telah berulang kali mengungkap kasus pengguna platform perdagangan yang menjadi korban penipuan sosial, dengan beberapa korban mengalami kerugian mencapai puluhan juta dolar. Menurut penyelidikan, hanya dalam periode Desember 2024 hingga Januari 2025, kerugian dana akibat penipuan semacam ini telah melebihi 65 juta dolar. Para ahli menunjukkan bahwa serangan semacam ini terus mengancam keamanan aset pengguna dengan skala tahunan mencapai 300 juta dolar.
Kelompok yang mendominasi jenis penipuan ini terutama dibagi menjadi dua kategori: satu adalah penyerang tingkat rendah dari dalam komunitas, dan yang lainnya adalah organisasi kejahatan siber yang berbasis di India. Mereka terutama menargetkan pengguna di Amerika Serikat, dengan menggunakan metode pelaksanaan yang distandarisasi dan proses dialog yang sudah matang. Jumlah kerugian yang sebenarnya mungkin jauh lebih tinggi daripada data statistik yang terlihat saat ini.
Analisis Metode Penipuan
Dalam peristiwa ini, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna, termasuk nama, alamat, kontak, data akun, dan foto KTP. Mereka menggunakan strategi penipuan sosial "serangan yang tepat" dengan jalur kejahatan utama sebagai berikut:
Menyamar sebagai layanan pelanggan resmi untuk menghubungi pengguna, mengklaim bahwa akun memiliki masalah keamanan.
Menggoda pengguna untuk mengunduh aplikasi dompet self-hosted tertentu.
Menyediakan frase pemulihan yang dihasilkan oleh penipu, mengklaim bahwa ini adalah "dompet baru resmi".
Mengarahkan pengguna untuk memindahkan aset ke dompet baru, kemudian mencuri dana.
Beberapa penipu juga memalsukan pemberitahuan darurat, mengklaim bahwa platform akan sepenuhnya pindah ke dompet yang dikelola sendiri, meminta pengguna untuk menyelesaikan migrasi aset dalam waktu singkat.
Serangan-serangan ini seringkali direncanakan dan diorganisir dengan cermat:
Menggunakan alat profesional untuk memalsukan nomor telepon masuk dan email resmi.
Menggunakan data pengguna yang dibeli dari saluran ilegal untuk menargetkan dengan tepat.
Menggunakan teknologi AI untuk memproses data yang dicuri, menghasilkan SMS penipuan secara massal.
Rancang alur penipuan yang koheren, terus tekan korban hingga transfer dana selesai.
Analisis Aliran Dana
Analisis on-chain terhadap beberapa alamat penipuan yang diketahui menunjukkan:
Target serangan mencakup berbagai enkripsi aset, dengan BTC dan ETH sebagai fokus utama.
Jumlah keuntungan per sekali dapat mencapai jutaan dolar.
Penipu memiliki kemampuan operasi on-chain yang kuat, melalui serangkaian langkah untuk dengan cepat mencuci dana:
Aset jenis ETH biasanya ditukar menjadi stablecoin melalui bursa desentralisasi, kemudian dipindahkan secara terdistribusi.
BTC utama dipindahkan ke Ethereum melalui jembatan lintas rantai, kemudian ditukar menjadi stablecoin.
Sebagian dari hasil penipuan masih dalam keadaan "didiadakan", belum dipindahkan.
Tindakan yang Ditempuh
tingkat platform
Secara berkala mengirimkan konten pendidikan anti-penipuan untuk meningkatkan kesadaran pencegahan pengguna.
Mengoptimalkan model manajemen risiko, memperkenalkan mekanisme identifikasi perilaku anomali interaktif.
Standarisasi saluran layanan pelanggan dan proses verifikasi, hindari kebingungan pengguna.
tingkat pengguna
Terapkan kebijakan pemisahan identitas, hindari penggunaan kontak yang sama di berbagai platform.
Aktifkan daftar putih transfer dan mekanisme pendinginan penarikan.
Terus memantau informasi keamanan, memahami metode serangan terbaru.
Prinsip kunci: tetap skeptis, terus memverifikasi. Ketika menghadapi permintaan tindakan darurat, pastikan untuk memverifikasi secara independen melalui saluran resmi, hindari membuat keputusan yang tidak dapat diubah di bawah tekanan.
Kesimpulan
Kejadian ini sekali lagi mengungkapkan kekurangan industri dalam perlindungan data pelanggan dan keamanan aset. Seiring dengan berkembangnya skala platform, pengendalian keamanan personel menjadi salah satu risiko yang paling menantang. Selain memperkuat mekanisme keamanan di blockchain, platform juga perlu membangun "sistem pertahanan sosial" yang komprehensif, memasukkan risiko manusia ke dalam strategi keamanan secara keseluruhan.
Setelah mendeteksi ancaman sistemik, platform harus merespons dengan cepat, secara proaktif memeriksa kerentanan, memberi tahu pengguna, dan mengendalikan ruang lingkup kerusakan. Hanya dengan pendekatan ganda di tingkat teknis dan organisasi, kepercayaan pengguna dapat benar-benar dipertahankan dalam lingkungan keamanan yang kompleks.
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
16 Suka
Hadiah
16
5
Posting ulang
Bagikan
Komentar
0/400
SignatureCollector
· 23jam yang lalu
Satu gelombang lagi play people for suckers telah selesai.
Lihat AsliBalas0
airdrop_whisperer
· 08-10 13:11
Pengkhianat sudah kelaparan sampai tidak ingin mangkuk makanannya lagi.
Lihat AsliBalas0
SchrodingerAirdrop
· 08-10 12:56
Dianggap Bodoh tidak ada ampun ya
Lihat AsliBalas0
ZkSnarker
· 08-10 12:48
sebenarnya... ancaman dari dalam selalu menjadi tantangan zk yang sebenarnya jujur saja
Serangan social engineering sering terjadi, kebocoran data oleh oknum dalam platform perdagangan menyebabkan kerugian besar bagi pengguna.
Serangan rekayasa sosial menjadi ancaman besar bagi keamanan aset enkripsi
Sejak 2025, kejadian penipuan rekayasa sosial yang menargetkan pengguna platform perdagangan tertentu semakin sering terjadi, menarik perhatian luas di industri. Kejadian semacam ini menunjukkan karakteristik yang berkelanjutan dan terorganisir, yang menimbulkan ancaman serius terhadap keamanan aset pengguna.
Pada 15 Mei, sebuah platform perdagangan mengeluarkan pengumuman yang mengonfirmasi spekulasi sebelumnya tentang adanya "mata-mata" internal. Departemen Kehakiman AS telah memulai penyelidikan terhadap insiden kebocoran data tersebut.
Tinjauan Peristiwa
Selama tahun lalu, beberapa detektif blockchain telah berulang kali mengungkap kasus pengguna platform perdagangan yang menjadi korban penipuan sosial, dengan beberapa korban mengalami kerugian mencapai puluhan juta dolar. Menurut penyelidikan, hanya dalam periode Desember 2024 hingga Januari 2025, kerugian dana akibat penipuan semacam ini telah melebihi 65 juta dolar. Para ahli menunjukkan bahwa serangan semacam ini terus mengancam keamanan aset pengguna dengan skala tahunan mencapai 300 juta dolar.
Kelompok yang mendominasi jenis penipuan ini terutama dibagi menjadi dua kategori: satu adalah penyerang tingkat rendah dari dalam komunitas, dan yang lainnya adalah organisasi kejahatan siber yang berbasis di India. Mereka terutama menargetkan pengguna di Amerika Serikat, dengan menggunakan metode pelaksanaan yang distandarisasi dan proses dialog yang sudah matang. Jumlah kerugian yang sebenarnya mungkin jauh lebih tinggi daripada data statistik yang terlihat saat ini.
Analisis Metode Penipuan
Dalam peristiwa ini, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna, termasuk nama, alamat, kontak, data akun, dan foto KTP. Mereka menggunakan strategi penipuan sosial "serangan yang tepat" dengan jalur kejahatan utama sebagai berikut:
Beberapa penipu juga memalsukan pemberitahuan darurat, mengklaim bahwa platform akan sepenuhnya pindah ke dompet yang dikelola sendiri, meminta pengguna untuk menyelesaikan migrasi aset dalam waktu singkat.
Serangan-serangan ini seringkali direncanakan dan diorganisir dengan cermat:
Analisis Aliran Dana
Analisis on-chain terhadap beberapa alamat penipuan yang diketahui menunjukkan:
Tindakan yang Ditempuh
tingkat platform
tingkat pengguna
Prinsip kunci: tetap skeptis, terus memverifikasi. Ketika menghadapi permintaan tindakan darurat, pastikan untuk memverifikasi secara independen melalui saluran resmi, hindari membuat keputusan yang tidak dapat diubah di bawah tekanan.
Kesimpulan
Kejadian ini sekali lagi mengungkapkan kekurangan industri dalam perlindungan data pelanggan dan keamanan aset. Seiring dengan berkembangnya skala platform, pengendalian keamanan personel menjadi salah satu risiko yang paling menantang. Selain memperkuat mekanisme keamanan di blockchain, platform juga perlu membangun "sistem pertahanan sosial" yang komprehensif, memasukkan risiko manusia ke dalam strategi keamanan secara keseluruhan.
Setelah mendeteksi ancaman sistemik, platform harus merespons dengan cepat, secara proaktif memeriksa kerentanan, memberi tahu pengguna, dan mengendalikan ruang lingkup kerusakan. Hanya dengan pendekatan ganda di tingkat teknis dan organisasi, kepercayaan pengguna dapat benar-benar dipertahankan dalam lingkungan keamanan yang kompleks.