Serangan sosial mengancam keamanan aset enkripsi, pengguna Coinbase menjadi korban utama

Dalam beberapa tahun terakhir, serangan rekayasa sosial telah menjadi ancaman besar terhadap keamanan aset pengguna di bidang enkripsi. Sejak tahun 2025, insiden penipuan rekayasa sosial yang menargetkan pengguna platform perdagangan tertentu sering terjadi, menarik perhatian luas. Dari diskusi komunitas, terlihat bahwa kejadian semacam ini bukanlah kasus terisolasi, melainkan jenis penipuan yang memiliki karakteristik berkelanjutan dan terorganisir.

Pada tanggal 15 Mei, sebuah platform perdagangan mengeluarkan pengumuman yang mengonfirmasi spekulasi sebelumnya mengenai adanya "orang dalam" di dalam platform. Diketahui bahwa Departemen Kehakiman AS telah memulai penyelidikan terhadap insiden kebocoran data ini.

Artikel ini akan mengungkapkan metode utama penipuan dengan mengorganisir informasi yang diberikan oleh beberapa peneliti keamanan dan korban, serta membahas bagaimana cara efektif untuk menghadapi jenis penipuan ini dari perspektif platform dan pengguna.

Analisis Sejarah

Detektif blockchain Zach menyatakan dalam pembaruan komunikasi pada 7 Mei: "Hanya dalam seminggu terakhir, lebih dari 45 juta dolar telah dicuri dari pengguna suatu platform perdagangan karena penipuan rekayasa sosial."

Dalam setahun terakhir, Zach telah beberapa kali mengungkapkan insiden pencurian pengguna di platform tersebut, di mana kerugian beberapa korban mencapai puluhan juta dolar. Pada Februari 2025, ia merilis investigasi rinci yang menyatakan bahwa hanya dalam periode dari Desember 2024 hingga Januari 2025, total dana yang dicuri akibat penipuan serupa telah melebihi 65 juta dolar, dan mengungkapkan bahwa platform tersebut sedang menghadapi krisis "penipuan sosial" yang serius, di mana serangan semacam ini terus mengancam keamanan aset pengguna dengan skala mencapai 300 juta dolar per tahun. Ia juga menunjukkan:

• Kelompok yang memimpin penipuan semacam ini terutama dibagi menjadi dua jenis: satu jenis adalah penyerang tingkat rendah dari lingkaran tertentu, dan jenis lainnya adalah organisasi kejahatan siber yang berlokasi di India;
• Target serangan kelompok penipuan sebagian besar adalah pengguna Amerika, metode kejahatan terstandarisasi, dan alur percakapan telah matang;
• Jumlah kerugian yang sebenarnya mungkin jauh lebih tinggi daripada statistik yang terlihat di blockchain, karena tidak mencakup informasi yang tidak dapat diakses seperti tiket layanan pelanggan dan catatan laporan polisi yang tidak dipublikasikan.

Metode Penipuan

Dalam peristiwa ini, sistem teknologi platform tidak ditembus, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna. Informasi ini termasuk: nama, alamat, kontak, data akun, foto identitas, dan lain-lain. Tujuan akhir penipu adalah untuk menggunakan teknik rekayasa sosial untuk mengarahkan pengguna melakukan transfer.

Jenis serangan ini mengubah metode phishing tradisional yang "menebar jaring" menjadi "serangan yang tepat", yang dapat disebut sebagai penipuan sosial yang "disesuaikan secara khusus". Jalur kejahatan yang khas adalah sebagai berikut:

1. Menghubungi pengguna sebagai "layanan pelanggan resmi"

Penipu menggunakan sistem telepon palsu untuk menyamar sebagai layanan pelanggan platform, menelepon pengguna dan menyatakan bahwa "akun mereka mengalami login ilegal", atau "terdeteksi penarikan yang tidak biasa", menciptakan suasana darurat. Mereka kemudian akan mengirimkan email atau SMS phishing yang tampak nyata, yang berisi nomor tiket palsu atau tautan "proses pemulihan", dan mengarahkan pengguna untuk beraksi. Tautan ini mungkin mengarah ke antarmuka platform yang dikloning, bahkan dapat mengirimkan email yang tampaknya berasal dari domain resmi, beberapa email memanfaatkan teknik pengalihan untuk melewati perlindungan keamanan.

2. Panduan pengguna untuk mengunduh dompet tertentu

Penipu akan mengarahkan pengguna untuk mentransfer dana ke "dompet aman" dengan alasan "melindungi aset", mereka juga akan membantu pengguna menginstal dompet tertentu dan mengarahkan mereka untuk memindahkan aset yang sebelumnya disimpan di platform ke dompet yang baru dibuat.

3. Mengarahkan pengguna untuk menggunakan frase pemulihan yang diberikan oleh penipu

Berbeda dengan "penipuan kata pengingat" tradisional, penipu secara langsung memberikan sekelompok kata pengingat yang mereka buat sendiri, mengelabui pengguna untuk menggunakannya sebagai "dompet baru resmi".

4.Penipu melakukan pencurian dana

Korban dalam keadaan tegang, cemas, dan mempercayai "customer service", sangat mudah terjebak. Bagi mereka, dompet baru yang "disediakan resmi" tentu lebih aman dibandingkan dompet lama yang "diduga telah disusupi". Hasilnya adalah, begitu dana dipindahkan ke dompet baru ini, penipu dapat segera mengalirkannya. Prinsip "apa yang bukan di bawah kendalimu, bukanlah milikmu" kembali dibuktikan dengan cara yang sangat menyakitkan.

Selain itu, beberapa email phishing mengklaim "karena keputusan gugatan kelas, platform akan sepenuhnya bermigrasi ke dompet yang dikelola sendiri", dan meminta pengguna untuk menyelesaikan migrasi aset sebelum 1 April. Pengguna, di bawah tekanan waktu yang mendesak dan sugesti psikologis dari "instruksi resmi", lebih cenderung untuk melakukan tindakan.

Menurut peneliti keamanan, serangan ini sering kali direncanakan dan dilaksanakan secara terorganisir:

• Rangkaian alat penipuan yang lengkap: Penipu menggunakan sistem tertentu untuk memalsukan nomor telepon masuk, mensimulasikan panggilan dari layanan pelanggan resmi. Saat mengirim email phishing, mereka akan memanfaatkan robot di platform sosial untuk meniru email resmi, melampirkan "panduan pemulihan akun" untuk mengarahkan transfer.
• Target yang tepat: Penipu memanfaatkan data pengguna yang dicuri yang dibeli dari saluran komunikasi dan dark web, menargetkan pengguna di AS sebagai sasaran utama, bahkan mereka juga akan memanfaatkan AI untuk memproses data yang dicuri, memecah dan menyusun ulang nomor telepon, menghasilkan file teks dalam jumlah besar, kemudian mengirimkan penipuan SMS melalui perangkat lunak peretasan.
• Proses penipuan yang konsisten: dari telepon, SMS hingga email, jalur penipuan biasanya berjalan tanpa jeda, frasa phishing yang umum termasuk "akun menerima permintaan penarikan" , "kata sandi telah direset" , "akun mengalami login yang tidak biasa" dan sebagainya, terus-menerus mengarahkan korban untuk melakukan "verifikasi keamanan" hingga penyelesaian transfer dompet.

Analisis On-chain

Kami menganalisis beberapa alamat penipu dan menemukan bahwa para penipu ini memiliki kemampuan operasi on-chain yang cukup kuat, berikut adalah beberapa informasi kunci:

Target serangan penipu mencakup berbagai aset yang dimiliki pengguna, dengan waktu aktif alamat-alamat ini terkonsentrasi antara Desember 2024 hingga Mei 2025. Aset target utama adalah BTC dan ETH. BTC adalah target penipuan yang paling utama saat ini, dengan beberapa alamat mendapatkan keuntungan sekaligus hingga ratusan BTC, dengan nilai per transaksi mencapai jutaan dolar.

Setelah mendapatkan dana, penipu dengan cepat menggunakan serangkaian proses pencucian untuk menukar dan memindahkan aset, dengan pola utama sebagai berikut:

• Aset jenis ETH sering kali ditukarkan dengan cepat menjadi DAI atau USDT melalui DEX tertentu, kemudian dipindahkan secara terdistribusi ke beberapa alamat baru, sebagian aset masuk ke platform perdagangan terpusat;

• BTC terutama digunakan untuk melakukan lintas rantai ke Ethereum melalui jembatan lintas rantai, kemudian ditukar menjadi DAI atau USDT, untuk menghindari risiko pelacakan.

Beberapa alamat penipuan masih dalam status "diam" setelah menerima DAI atau USDT, dan belum ditransfer.

Untuk menghindari interaksi alamat Anda dengan alamat yang mencurigakan, sehingga menghadapi risiko aset dibekukan, disarankan agar pengguna melakukan deteksi risiko terhadap alamat target sebelum bertransaksi, untuk secara efektif menghindari ancaman yang mungkin.

Tindakan yang diambil

platform

Saat ini, metode keamanan yang mainstream lebih banyak berupa perlindungan "lapisan teknis", sementara penipuan sosial sering kali melewati mekanisme ini dan langsung menyerang kelemahan psikologis dan perilaku pengguna. Oleh karena itu, disarankan agar platform mengintegrasikan pendidikan pengguna, pelatihan keamanan, dan desain kegunaan, untuk membangun satu set "garis pertahanan yang berorientasi pada manusia".

• Mengirimkan konten edukasi anti-penipuan secara berkala: Meningkatkan kemampuan pengguna untuk melawan phishing melalui pop-up aplikasi, antarmuka konfirmasi transaksi, email, dan saluran lainnya;
• Mengoptimalkan model pengendalian risiko, memperkenalkan "Pengenalan Perilaku Anomali Interaktif": Sebagian besar penipuan social engineering akan mendorong pengguna untuk menyelesaikan serangkaian operasi dalam waktu singkat (seperti transfer, perubahan daftar putih, pengikatan perangkat, dll). Platform harus mengidentifikasi kombinasi interaksi yang mencurigakan berdasarkan model rantai perilaku (seperti "interaksi frekuensi tinggi + alamat baru + penarikan besar"), memicu periode tenang atau mekanisme pemeriksaan manual.
• Standarisasi saluran layanan pelanggan dan mekanisme verifikasi: Penipu sering menyamar sebagai layanan pelanggan untuk membingungkan pengguna, platform harus menyatukan telepon, SMS, dan template email, serta menyediakan "akses verifikasi layanan pelanggan", untuk memperjelas satu-satunya saluran komunikasi resmi, menghindari kebingungan.

pengguna

• Terapkan kebijakan isolasi identitas: hindari penggunaan email dan nomor ponsel yang sama di beberapa platform, untuk mengurangi risiko terkait, dapat menggunakan alat pengecekan kebocoran untuk secara berkala memeriksa apakah email telah bocor.

• Aktifkan daftar putih transfer dan mekanisme pendinginan penarikan: atur alamat tepercaya untuk mengurangi risiko kehilangan dana dalam situasi darurat.

• Terus memantau informasi keamanan: Melalui perusahaan keamanan, media, platform perdagangan, dan saluran lainnya, ketahui perkembangan terbaru tentang metode serangan dan tetap waspada. Saat ini, beberapa lembaga keamanan telah mengembangkan platform pelatihan phishing Web3 yang akan segera diluncurkan, platform ini akan mensimulasikan berbagai metode phishing klasik, termasuk rekayasa sosial, phishing tanda tangan, interaksi kontrak jahat, dan menggabungkan kasus historis untuk terus memperbarui konten skenario. Membantu pengguna meningkatkan kemampuan pengenalan dan respons dalam lingkungan tanpa risiko.

• Perhatikan risiko offline dan perlindungan privasi: Kebocoran informasi pribadi juga dapat menyebabkan masalah keamanan pribadi.

Ini bukanlah khayalan, sejak awal tahun ini, para profesional/pengguna enkripsi telah mengalami beberapa insiden yang mengancam keselamatan pribadi. Mengingat data yang bocor kali ini mencakup nama, alamat, informasi kontak, data akun, foto identitas, dan sebagainya, pengguna yang bersangkutan juga perlu meningkatkan kewaspadaan secara offline dan memperhatikan keamanan.

Secara keseluruhan, tetap skeptis dan terus melakukan verifikasi. Untuk semua tindakan darurat, pastikan untuk meminta pihak lain untuk membuktikan identitas mereka dan memverifikasi secara mandiri melalui saluran resmi, hindari membuat keputusan yang tidak dapat diubah di bawah tekanan.

Ringkasan

Kejadian ini sekali lagi mengungkapkan bahwa menghadapi metode serangan rekayasa sosial yang semakin matang, industri masih memiliki kekurangan yang jelas dalam perlindungan data pelanggan dan keamanan aset. Yang perlu diwaspadai adalah, meskipun posisi terkait di platform tidak memiliki wewenang finansial, kurangnya kesadaran dan kemampuan keamanan yang memadai juga dapat menyebabkan konsekuensi serius akibat kebocoran yang tidak disengaja atau direkrut. Seiring dengan semakin besarnya ukuran platform, kompleksitas pengendalian keamanan personel juga meningkat, menjadi salah satu risiko yang paling sulit diatasi dalam industri. Oleh karena itu, platform harus memperkuat mekanisme keamanan di blockchain sambil secara sistematis membangun "sistem pertahanan terhadap rekayasa sosial" yang mencakup personel internal dan layanan outsourcing, serta memasukkan risiko manusia ke dalam strategi keamanan keseluruhan.

Selain itu, begitu serangan ditemukan bukanlah kejadian terisolasi, tetapi merupakan ancaman yang terorganisir dan berskala yang berkelanjutan, platform harus segera merespons, secara proaktif memeriksa potensi kerentanan, mengingatkan pengguna untuk waspada, dan mengendalikan ruang lingkup kerusakan. Hanya dengan menanggapi secara ganda di tingkat teknis dan organisasi, kita dapat benar-benar menjaga kepercayaan dan batasan dalam lingkungan keamanan yang semakin kompleks.