Akun X (sebelumnya Twitter) milik nama besar pembangun jaringan Ethereum, Vitalik Buterin, diduga telah diretas (09/09). Pelaku melakukan serangan phising dan telah menguras 690 ribu dolar Amerika Serikat atau senilai 12 miliar rupiah dari para korban, melalui pengguna X @ZachXBT. Mereka bahkan telah menguras dan membawa kabur 147 ribu dolar AS dalam waktu satu jam.
Tidak hanya itu, pelaku juga mencuri NFT ikonik yakni NFT Punk yang pertama kali dirilis ke publik. Seorang angel investor dengan nama akun X @EvanLuthra mengatakan bahwa, NFT tersebut “bukan [NFT] Punk biasa dan pada dasarnya, NFT pertama yang pernah dicetak.” Kemudian Ia menambahkan, “[NFT] itu sangat ikonik, sehingga Vitalik Buterin sendiri harus turun tangan untuk mentransfernya.”
Adapun unggahan phising tersebut berisi kampanye Consensys palsu yang memikat pengguna, khususnya pengikut Vitalik Buterin untuk berpartisipasi dalam sebuah airdrop. Adapun penyelenggaranya merupakan perusahaan blockchain global untuk memanfaatkan “perayaan” NFT bernama Proto-Danksharding yang hadir di jaringan Ethereum. Mereka menargetkan 4,9M pengikut Vitalik Buterin di platform X.
Sebagai informasi, Proto-Danksharding yang juga dikenal sebagai EIP-4844 merupakan metode rollup untuk menambahkan data yang lebih murah ke dalam blok. Kini, rollup terbatas pada seberapa murahnya mereka dapat membuat transaksi pengguna karena mereka mengunggah transaksinya di calldata atau yang merupakan lokasi data yang sangat spesifik untuk setiap blockchain berbasis EVM (Ethereum Virtual Machine).
Dengan begitu, Proto-Danksharding memperkenalkan “gumpalan” data yang dapat dikirim dan dilampirkan ke blok. Data dalam gumpalan ini tidak dapat diakses oleh EVM, kemudian dihapus secara otomatis setelah jangka waktu tertentu (1-3 bulan). Artinya, rollup dapat mengirim data mereka dengan lebih murah dan memberikan penghematan kepada pengguna akhir dalam bentuk transaksi yang lebih murah.
Phising di Akun Vitalik Buterin Menguras Dana & Data Para Target
Ayah dari Vitalik Buterin, Dmitriy “Dima” Buterin menyampaikan bahwa akun anaknya telah diretas dan tengah dalam proses pemulihan. Peristiwa ini sontak menarik perhatian banyak ahli dari pegiat web3 terkenal hingga para investor lain, yang salah satunya datang dari CEO Binance Changpeng Zao.
Dilansir dari Decrypt, tidak diketahui berapa banyak pengguna yang terkena dampaknya. Namun, insiden terbaru ini menambah daftar peretasan melalui media sosial yang telah menjaring jutaan token.
Setelah begitu banyak kerugian, muncul perdebatan tentang bagaimana para korban harus dikompensasi atas kerugian mereka oleh para pengembang sendiri. Keamanan Twitter sendiri juga dipertanyakan, termasuk oleh CEO Binance Changpeng Zhao. Ia menulis bahwa keamanan akun platform X ini ‘tidak dirancang dengan baik’ dibandingkan dengan akun keuangan tradisional.
“Perlu lebih banyak fitur: 2FA, ID login harus berbeda dengan nama pengguna atau email, dan lain-lain,” ujar CZ yang mengacu pada otentikasi dua faktor (2FA). Ia menyambungkan bahwa, “di masa lalu, akun Twitter saya pernah beberapa kali terkunci karena peretas mencoba membobolnya secara paksa [mencoba kata sandi yang berbeda berulang kali]. Ini terjadi sebelum ‘era Elon’.”
Otentikasi dua faktor adalah metode pertahanan yang direkomendasikan secara luas bagi pengguna untuk meminta dua set informasi untuk memverifikasi identitas mereka sebelum mengakses sebuah akun. Fitur ini didukung oleh Twitter, tetapi hanya untuk pengguna yang membayar Twitter Blue. Brute forcing adalah taktik di mana peretas membombardir sebuah akun dengan permintaan akses hingga akhirnya akun tersebut dapat ditembus.
Penulis: Fika Novia
Sumber: X, Decrypt, Cointelegraph