Celah iCloud Bikin Pria Ini Kehilangan Kripto Rp 9,3 Miliar

ADVERTISEMENT

Celah iCloud Bikin Pria Ini Kehilangan Kripto Rp 9,3 Miliar

Anggoro Suryo Jati - detikInet
Selasa, 19 Apr 2022 18:00 WIB
LONDON, ENGLAND - APRIL 25: In this photo illustration of the litecoin, ripple and ethereum cryptocurrency altcoins sit arranged for a photograph beside a smartphone displaying the current price chart for ethereum on April 25, 2018 in London, England. Cryptocurrency markets began to recover this month following a massive crash during the first quarter of 2018, seeing more than $550 billion wiped from the total market capitalisation. (Photo by Jack Taylor/Getty Images)
Ilustrasi. Foto: Jack Taylor/Getty Images
Jakarta -

Domenic Iacovone menerima panggilan telepon mencurigakan dari Apple pada Jumat (15/4), yang menyebut akun Apple-nya diretas dan mereka membutuhkan OTP yang dikirimkan Apple ke iPhonenya untuk memastikan kalau Iacovone memang pemilik yang asli.

Tentu saja Iacovone tertipu dan memberikan kode OTP tersebut ke si penelepon. Bisa ditebak, si penipu pun langsung mengambil alih akun iCloud miliknya. Sampai di sini, kejadian ini terbilang lazim dan bisa terjadi ke siapa pun yang menyerahkan kode OTP ke pihak lain.

Namun khusus untuk kasus Iacovone, si peretas tak cuma mencuri akun iCloudnya, melainkan juga menguras dompet kripto miliknya yang berisi NFT dan mata uang kripto senilai USD 650 ribu, atau sekitar Rp 9,3 miliar. Hebatnya, prosesnya hanya membutuhkan dua detik sejak Iacovone memberikan OTP untuk iCloudnya.

Aset yang dicuri itu antara lain adalah ether senilai USD 160 ribu, NFT Mutant Ape Yacht Club senilai USD 80 ribu dan mata uang kripto Ape Coin senilai USD 100 ribu. Ia pun disebut punya USD 250 ribu dalam bentuk Tether.

Kejadian ini bisa dibilang adalah aksi peretasan berbasis social engineering phishing yang sangat canggih. Karena si hacker bisa mengakses dompet kripto hanya dengan mencuri akun iCloud.

Masalahnya adalah, saat membuat dompet kripto, dalam hal ini MetaMask yang dipakai oleh Iacovone, pengguna perlu membuat kalimat seed berisi 12 kata, yang dibutuhkan untuk mengakses dompet di perangkat baru, demikian dikutip detikINET dari Cnet, Selasa (19/4/2022).



Jadi bagaimana cara hacker mencuri kripto korban? Baca di halaman selanjutnya

Aturan yang paling penting dalam trading mata uang kripto adalah untuk melindungi kalimat seed ini dengan cara apa pun. Termasuk tidak menyimpan 12 kata ini di iCloud, dan Iacovone pun memang tidak melakukannya. Jadi bagaimana si hacker bisa menguras dompet korban?

Jawabannya datang dari ahli keamanan kripto yang punya akun bernama Serpent. Menurutnya, aplikasi MetaMask di iPhone otomatis menyimpan kalimat seed itu ke dalam iCloud jika pengguna menyalakan opsi iCloud backup. Alhasil masalah ini pun membuat MetaMask, dompet Ethereum paling tenar, kelabakan.

Mereka langsung meminta semua penggunanya yang memakai iPhone untuk mematikan opsi iCloud backup.



Insiden pencurian ini pun memperlihatkan kelemahan dari decentralized finance, yang tidak punya pihak berwajib yang berhak dan bisa mengembalikan uang milik korban. Transaksi blockchain tidak bisa diputar balik, yang artinya MetaMask ataupun perusahaan lain tidak bisa mengembalikan aset yang hilang.

Sementara OpenSea, marketplace NFT terbesar di dunia pun hanya bisa menandai akun Iacovone sebagai akun mencurigakan untuk mencegah pengguna lain membeli NFT dari akun tersebut. Langkah itu pun sudah terlambat, karena NFT Mutan Ape yang dicuri darinya langsung dijual cepat senilai USD 80 ribu.



(asj/asj)

ADVERTISEMENT

ADVERTISEMENT

ADVERTISEMENT

ADVERTISEMENT