Penipuan sosial menjadi ancaman besar di bidang enkripsi aset
Dalam beberapa tahun terakhir, serangan rekayasa sosial terhadap pengguna enkripsi semakin marak, menimbulkan ancaman serius terhadap keamanan dana pengguna. Sejak tahun 2025, insiden penipuan sosial yang menargetkan pengguna platform perdagangan terkenal sering terjadi, menarik perhatian luas di industri. Dari diskusi komunitas, dapat dilihat bahwa ini bukanlah kejadian terisolasi, melainkan merupakan metode penipuan baru yang terorganisir dan berkelanjutan.
Pada 15 Mei, platform perdagangan tersebut mengeluarkan pengumuman yang mengonfirmasi spekulasi sebelumnya mengenai adanya "pengkhianat" di dalam platform. Departemen Kehakiman AS telah memulai penyelidikan atas insiden kebocoran data ini.
Tinjauan Sejarah
Detektif on-chain Zach dalam pembaruan pada 7 Mei menunjukkan bahwa hanya dalam seminggu terakhir, lebih dari 45 juta dolar AS telah dicuri dari pengguna platform tersebut akibat penipuan rekayasa sosial. Selama setahun terakhir, Zach telah beberapa kali mengungkapkan insiden pencurian terkait pengguna, dengan beberapa korban kehilangan hingga puluhan juta dolar AS.
Zach dalam sebuah laporan survei pada Februari 2025 menyatakan bahwa selama periode Desember 2024 hingga Januari 2025, total kerugian dana akibat penipuan semacam itu telah melebihi 65 juta dolar AS. Ia juga mengungkapkan bahwa platform tersebut sedang menghadapi krisis "penipuan sosial" yang serius, yang terus mengancam keamanan aset pengguna dengan skala sebesar 300 juta dolar AS per tahun.
Zach menunjukkan bahwa kelompok yang mendominasi penipuan semacam ini terutama dibagi menjadi dua kategori: satu adalah penyerang tingkat rendah dari suatu lingkaran, dan yang lainnya adalah organisasi kejahatan siber yang berlokasi di India. Kelompok penipu terutama menargetkan pengguna di Amerika, dengan metode operasi yang terstandarisasi dan skrip pembicaraan yang matang. Dia juga berpendapat bahwa jumlah kerugian yang sebenarnya mungkin jauh lebih tinggi daripada statistik yang terlihat, karena masih banyak tiket layanan pelanggan dan laporan polisi yang belum dipublikasikan.
Metode Penipuan
Dalam kejadian ini, sistem teknis platform tidak diretas, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna, termasuk nama, alamat, kontak, data akun, foto KTP, dan sebagainya. Tujuan akhir penipu adalah menggunakan teknik rekayasa sosial untuk mengarahkan pengguna melakukan transfer.
Metode serangan ini mengubah cara penipuan tradisional "menebar jala" menjadi "serangan yang terfokus", yang bisa disebut sebagai penipuan rekayasa sosial yang "disesuaikan secara khusus". Jalur kejahatan yang khas adalah sebagai berikut:
Menghubungi pengguna sebagai "customer service resmi"
Mengarahkan pengguna untuk mengunduh dompet self-custody platform
Menggoda pengguna untuk menggunakan kata sandi pemulihan yang diberikan oleh penipu
Penipu melakukan pencurian dana
Penipu menggunakan sistem telepon palsu untuk menyamar sebagai layanan pelanggan platform, mengklaim bahwa "akun pengguna mengalami login ilegal" atau "terdeteksi anomali penarikan", menciptakan suasana mendesak. Kemudian, mereka mengirimkan email atau SMS phishing yang tampak realistis, mengarahkan pengguna untuk melakukan tindakan. Mereka akan menggunakan alasan "melindungi aset" untuk membujuk pengguna mentransfer dana ke "dompet aman". Berbeda dengan metode tradisional "menipu kata sandi pemulihan", penipu langsung memberikan satu set kata sandi pemulihan yang mereka buat sendiri, membujuk pengguna untuk menggunakannya sebagai "dompet baru resmi".
Beberapa email phishing bahkan mengklaim "karena keputusan gugatan class action, platform akan sepenuhnya bermigrasi ke dompet yang dikelola sendiri", meminta pengguna untuk menyelesaikan pemindahan aset dalam waktu singkat, dengan tujuan menciptakan rasa urgensi.
Tindakan yang Ditempuh
Untuk platform:
Mengirimkan konten edukasi anti-penipuan secara berkala
Mengoptimalkan model manajemen risiko, memperkenalkan "pengenalan perilaku anomali interaktif"
Menstandarisasi saluran layanan pelanggan dan mekanisme verifikasi
Untuk pengguna:
Melaksanakan strategi isolasi identitas
Aktifkan daftar putih transfer dan mekanisme pendinginan penarikan
Terus mengikuti informasi keamanan
Perhatikan risiko offline dan perlindungan privasi
Singkatnya, menghadapi serangan rekayasa sosial, menjaga sikap skeptis dan terus melakukan verifikasi sangat penting. Untuk setiap operasi yang melibatkan keadaan darurat, pastikan untuk meminta pihak lain membuktikan identitas mereka dan memverifikasi secara independen melalui saluran resmi, untuk menghindari membuat keputusan yang tidak dapat diubah di bawah tekanan.
Ringkasan
Kejadian ini sekali lagi mengungkapkan kekurangan industri dalam melindungi data pelanggan dan aset. Meskipun posisi terkait di platform tidak memiliki otoritas dana, kurangnya kesadaran dan kemampuan keamanan yang memadai juga dapat menyebabkan konsekuensi serius akibat kebocoran yang tidak disengaja atau direkrut. Seiring dengan perluasan skala platform, kompleksitas pengendalian keamanan personel juga meningkat, yang telah menjadi salah satu risiko paling sulit diatasi dalam industri.
Platform selain memperkuat mekanisme keamanan on-chain, juga harus secara sistematis membangun "sistem pertahanan sosial" yang mencakup personel internal dan layanan outsourcing, dengan memasukkan risiko manusia ke dalam strategi keamanan keseluruhan. Begitu terdeteksi adanya ancaman yang terorganisir dan berkelanjutan, platform harus cepat merespons, secara proaktif memeriksa celah, memperingatkan pengguna untuk waspada, dan mengendalikan dampak kerugian. Hanya dengan pendekatan ganda di tingkat teknis dan organisasi, kepercayaan dan batasan dapat dipertahankan di tengah lingkungan keamanan yang semakin kompleks.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
10 Suka
Hadiah
10
8
Bagikan
Komentar
0/400
StableGeniusDegen
· 07-21 19:43
Bodoh-bodoh belakangan ini semua bermain penipuan ya
Lihat AsliBalas0
tokenomics_truther
· 07-20 07:00
Apakah ini lagi-lagi karena pengkhianatan dari orang dalam? Tragis
Lihat AsliBalas0
BugBountyHunter
· 07-18 20:13
Dianggap Bodoh lagi ya
Lihat AsliBalas0
AirdropBlackHole
· 07-18 20:12
Aduh, sudah dipermainkan lagi oleh para suckers.
Lihat AsliBalas0
GasWaster
· 07-18 20:04
Jumlah trader berkurang setengahnya
Lihat AsliBalas0
HappyMinerUncle
· 07-18 20:02
pemula jangan tertipu ya, dapat diandalkan
Lihat AsliBalas0
DaoResearcher
· 07-18 20:02
Penelitian ini akan mengutip Bab 3.7 dari White Paper risiko enkripsi aset FATF, serangan rekayasa sosial memang telah jauh melampaui peretasan tradisional, dan terdapat kelemahan sistemik yang jelas.
Pencurian aset sering terjadi, penipuan melalui social engineering menjadi ancaman besar di bidang enkripsi.
Penipuan sosial menjadi ancaman besar di bidang enkripsi aset
Dalam beberapa tahun terakhir, serangan rekayasa sosial terhadap pengguna enkripsi semakin marak, menimbulkan ancaman serius terhadap keamanan dana pengguna. Sejak tahun 2025, insiden penipuan sosial yang menargetkan pengguna platform perdagangan terkenal sering terjadi, menarik perhatian luas di industri. Dari diskusi komunitas, dapat dilihat bahwa ini bukanlah kejadian terisolasi, melainkan merupakan metode penipuan baru yang terorganisir dan berkelanjutan.
Pada 15 Mei, platform perdagangan tersebut mengeluarkan pengumuman yang mengonfirmasi spekulasi sebelumnya mengenai adanya "pengkhianat" di dalam platform. Departemen Kehakiman AS telah memulai penyelidikan atas insiden kebocoran data ini.
Tinjauan Sejarah
Detektif on-chain Zach dalam pembaruan pada 7 Mei menunjukkan bahwa hanya dalam seminggu terakhir, lebih dari 45 juta dolar AS telah dicuri dari pengguna platform tersebut akibat penipuan rekayasa sosial. Selama setahun terakhir, Zach telah beberapa kali mengungkapkan insiden pencurian terkait pengguna, dengan beberapa korban kehilangan hingga puluhan juta dolar AS.
Zach dalam sebuah laporan survei pada Februari 2025 menyatakan bahwa selama periode Desember 2024 hingga Januari 2025, total kerugian dana akibat penipuan semacam itu telah melebihi 65 juta dolar AS. Ia juga mengungkapkan bahwa platform tersebut sedang menghadapi krisis "penipuan sosial" yang serius, yang terus mengancam keamanan aset pengguna dengan skala sebesar 300 juta dolar AS per tahun.
Zach menunjukkan bahwa kelompok yang mendominasi penipuan semacam ini terutama dibagi menjadi dua kategori: satu adalah penyerang tingkat rendah dari suatu lingkaran, dan yang lainnya adalah organisasi kejahatan siber yang berlokasi di India. Kelompok penipu terutama menargetkan pengguna di Amerika, dengan metode operasi yang terstandarisasi dan skrip pembicaraan yang matang. Dia juga berpendapat bahwa jumlah kerugian yang sebenarnya mungkin jauh lebih tinggi daripada statistik yang terlihat, karena masih banyak tiket layanan pelanggan dan laporan polisi yang belum dipublikasikan.
Metode Penipuan
Dalam kejadian ini, sistem teknis platform tidak diretas, penipu memanfaatkan hak akses karyawan internal untuk mendapatkan sebagian informasi sensitif pengguna, termasuk nama, alamat, kontak, data akun, foto KTP, dan sebagainya. Tujuan akhir penipu adalah menggunakan teknik rekayasa sosial untuk mengarahkan pengguna melakukan transfer.
Metode serangan ini mengubah cara penipuan tradisional "menebar jala" menjadi "serangan yang terfokus", yang bisa disebut sebagai penipuan rekayasa sosial yang "disesuaikan secara khusus". Jalur kejahatan yang khas adalah sebagai berikut:
Penipu menggunakan sistem telepon palsu untuk menyamar sebagai layanan pelanggan platform, mengklaim bahwa "akun pengguna mengalami login ilegal" atau "terdeteksi anomali penarikan", menciptakan suasana mendesak. Kemudian, mereka mengirimkan email atau SMS phishing yang tampak realistis, mengarahkan pengguna untuk melakukan tindakan. Mereka akan menggunakan alasan "melindungi aset" untuk membujuk pengguna mentransfer dana ke "dompet aman". Berbeda dengan metode tradisional "menipu kata sandi pemulihan", penipu langsung memberikan satu set kata sandi pemulihan yang mereka buat sendiri, membujuk pengguna untuk menggunakannya sebagai "dompet baru resmi".
Beberapa email phishing bahkan mengklaim "karena keputusan gugatan class action, platform akan sepenuhnya bermigrasi ke dompet yang dikelola sendiri", meminta pengguna untuk menyelesaikan pemindahan aset dalam waktu singkat, dengan tujuan menciptakan rasa urgensi.
Tindakan yang Ditempuh
Untuk platform:
Untuk pengguna:
Singkatnya, menghadapi serangan rekayasa sosial, menjaga sikap skeptis dan terus melakukan verifikasi sangat penting. Untuk setiap operasi yang melibatkan keadaan darurat, pastikan untuk meminta pihak lain membuktikan identitas mereka dan memverifikasi secara independen melalui saluran resmi, untuk menghindari membuat keputusan yang tidak dapat diubah di bawah tekanan.
Ringkasan
Kejadian ini sekali lagi mengungkapkan kekurangan industri dalam melindungi data pelanggan dan aset. Meskipun posisi terkait di platform tidak memiliki otoritas dana, kurangnya kesadaran dan kemampuan keamanan yang memadai juga dapat menyebabkan konsekuensi serius akibat kebocoran yang tidak disengaja atau direkrut. Seiring dengan perluasan skala platform, kompleksitas pengendalian keamanan personel juga meningkat, yang telah menjadi salah satu risiko paling sulit diatasi dalam industri.
Platform selain memperkuat mekanisme keamanan on-chain, juga harus secara sistematis membangun "sistem pertahanan sosial" yang mencakup personel internal dan layanan outsourcing, dengan memasukkan risiko manusia ke dalam strategi keamanan keseluruhan. Begitu terdeteksi adanya ancaman yang terorganisir dan berkelanjutan, platform harus cepat merespons, secara proaktif memeriksa celah, memperingatkan pengguna untuk waspada, dan mengendalikan dampak kerugian. Hanya dengan pendekatan ganda di tingkat teknis dan organisasi, kepercayaan dan batasan dapat dipertahankan di tengah lingkungan keamanan yang semakin kompleks.