.webp)
Domenic Iacovone menerima panggilan telepon mencurigakan dari Apple pada Jumat (15/4), yang menyebut akun Apple-nya diretas dan mereka membutuhkan OTP yang dikirimkan Apple ke iPhonenya untuk memastikan kalau Iacovone memang pemilik yang asli.
Tentu saja Iacovone tertipu dan memberikan kode OTP tersebut ke si penelepon. Bisa ditebak, si penipu pun langsung mengambil alih akun iCloud miliknya. Sampai di sini, kejadian ini terbilang lazim dan bisa terjadi ke siapa pun yang menyerahkan kode OTP ke pihak lain.
Namun khusus untuk kasus Iacovone, si peretas tak cuma mencuri akun iCloudnya, melainkan juga menguras dompet kripto miliknya yang berisi NFT dan mata uang kripto senilai USD 650 ribu, atau sekitar Rp 9,3 miliar. Hebatnya, prosesnya hanya membutuhkan dua detik sejak Iacovone memberikan OTP untuk iCloudnya.
SCROLL TO CONTINUE WITH CONTENT
Aset yang dicuri itu antara lain adalah ether senilai USD 160 ribu, NFT Mutant Ape Yacht Club senilai USD 80 ribu dan mata uang kripto Ape Coin senilai USD 100 ribu. Ia pun disebut punya USD 250 ribu dalam bentuk Tether.
Kejadian ini bisa dibilang adalah aksi peretasan berbasis social engineering phishing yang sangat canggih. Karena si hacker bisa mengakses dompet kripto hanya dengan mencuri akun iCloud.
Masalahnya adalah, saat membuat dompet kripto, dalam hal ini MetaMask yang dipakai oleh Iacovone, pengguna perlu membuat kalimat seed berisi 12 kata, yang dibutuhkan untuk mengakses dompet di perangkat baru, demikian dikutip detikINET dari Cnet, Selasa (19/4/2022).
Jadi bagaimana cara hacker mencuri kripto korban? Baca di halaman selanjutnya
Aturan yang paling penting dalam trading mata uang kripto adalah untuk melindungi kalimat seed ini dengan cara apa pun. Termasuk tidak menyimpan 12 kata ini di iCloud, dan Iacovone pun memang tidak melakukannya. Jadi bagaimana si hacker bisa menguras dompet korban?
Jawabannya datang dari ahli keamanan kripto yang punya akun bernama Serpent. Menurutnya, aplikasi MetaMask di iPhone otomatis menyimpan kalimat seed itu ke dalam iCloud jika pengguna menyalakan opsi iCloud backup. Alhasil masalah ini pun membuat MetaMask, dompet Ethereum paling tenar, kelabakan.
Mereka langsung meminta semua penggunanya yang memakai iPhone untuk mematikan opsi iCloud backup.
Insiden pencurian ini pun memperlihatkan kelemahan dari decentralized finance, yang tidak punya pihak berwajib yang berhak dan bisa mengembalikan uang milik korban. Transaksi blockchain tidak bisa diputar balik, yang artinya MetaMask ataupun perusahaan lain tidak bisa mengembalikan aset yang hilang.
Sementara OpenSea, marketplace NFT terbesar di dunia pun hanya bisa menandai akun Iacovone sebagai akun mencurigakan untuk mencegah pengguna lain membeli NFT dari akun tersebut. Langkah itu pun sudah terlambat, karena NFT Mutan Ape yang dicuri darinya langsung dijual cepat senilai USD 80 ribu.
