Dompet dingin Bybit untuk ETH menggunakan sistem multisig, yang berarti bahwa setiap transaksi memerlukan lebih dari satu tanda tangan untuk disetujui. Secara umum, sistem ini dianggap sangat aman. Namun, para peretas berhasil mengelabui orang yang bertanggung jawab untuk masuk guna menyetujui perubahan berbahaya pada kontrak pintar dompet, menggunakan serangan spoofing UI atau penyamaran transaksi.
Bagaimana peretasan itu terjadi? Langkah demi langkah ■
1️⃣ Dompet dingin yang dibutuhkan untuk mentransfer dana
Bybit perlu mentransfer sejumlah ETH dari dompet dinginnya ke dompet hangatnya (digunakan untuk transaksi harian).
Biasanya, ini memerlukan persetujuan banyak orang melalui sistem multisig menggunakan platform Gnosis Safe (sekarang dikenal sebagai Safe).
---
2️⃣ Peretas menciptakan antarmuka palsu untuk menipu para penandatangan.
Peretas berhasil memanipulasi antarmuka pengguna yang digunakan oleh tim Bybit untuk menyetujui transaksi.
Alih-alih memperlihatkan rincian transaksi sebenarnya, mereka malah diperlihatkan transaksi palsu yang tampak 100% sah.
Bahkan tautan situs webnya tampak resmi (@safe dari Gnosis Safe), yang membuatnya tampak sepenuhnya sah.
✅ Apa yang dilihat tim Bybit saat menandatangani?
Transaksi yang menunjukkan bahwa ETH sedang dikirim ke dompet hangat Bybit.
Semua informasi tampak benar dan alami.
❌ Apa yang sebenarnya terjadi di belakang layar tanpa sepengetahuan mereka?
Alih-alih mengirim dana, transaksi tersebut mengubah kode kontrak pintar dompet dingin.
Perubahan ini memberi peretas kendali penuh atas dompet, yang memungkinkannya mentransfer semua dana ke dompetnya sendiri.
---
3️⃣ Tim Bybit menandatangani transaksi palsu tanpa mengetahuinya.
Karena antarmuka pengguna palsu dan tampak sah, semua penandatangan percaya bahwa mereka menyetujui transfer dana normal.
Namun pada kenyataannya, mereka sepakat untuk mengubah kode dompet tersebut, sehingga peretas dapat mengambil alih kendali penuh atas dompet tersebut.
---
4️⃣ Peretas menjadi pemilik baru dompet dan mencuri semua uang.
Setelah tanda tangan selesai, peretas menjadi satu-satunya pengendali dompet dingin.
Dia mentransfer semua ETH di dalamnya ke dompet pribadinya.
Bybit tidak lagi memiliki akses ke dompet dinginnya.
---
Mengapa peretasan ini begitu berbahaya?
🔴 Ini bukan peretasan biasa, melainkan serangan canggih yang mengandalkan ilusi optik dan manipulasi psikologis. Inilah mengapa ini merupakan salah satu peretasan paling berbahaya dalam sejarah mata uang kripto:
1️⃣ Dompet dingin seharusnya sepenuhnya aman.
Dompet dingin biasanya tidak terhubung ke internet, sehingga kebal terhadap peretasan langsung.
Namun dalam kasus ini, peretasan dilakukan tanpa mencuri kunci pribadi, hanya dengan menipu tim yang bertanggung jawab menandatangani transaksi.
2️⃣ Multisignature tidak memberikan perlindungan yang cukup.
Bahkan dengan banyak orang yang meninjau transaksi tersebut, peretas berhasil menipu mereka semua.
Artinya, memiliki banyak tanda tangan belum tentu menjamin keamanan jika semua penanda tangan tertipu!
3️⃣ UI Spoofing adalah ancaman baru dan berbahaya.
Pelanggaran ini bukan disebabkan oleh gangguan teknis, melainkan karena perubahan dalam cara data disajikan kepada pengguna.
Ini menunjukkan bahwa manusia dapat menjadi kelemahan terbesar dalam sistem keamanan apa pun.
4️⃣ Tidak ada peretasan jaringan langsung atau kebocoran kunci pribadi.
Peretas tidak membobol server Bybit atau mencuri data sensitif.
Yang dilakukannya hanyalah menipu tim penandatanganan agar setuju untuk mentransfer kepemilikan dompet kepadanya.
---
Apa arti terobosan ini bagi masa depan platform perdagangan?
🎯 Peretasan ini menunjukkan bahwa keamanan teknis saja tidak cukup, dan sistem harus dilindungi dari rekayasa sosial dan ilusi optik.
Semua platform harus mulai memperbarui sistem mereka untuk mengatasi ancaman baru ini.
🎯 Pengguna harus lebih menyadari bahwa bahkan sistem yang aman dapat diretas dengan cara yang tidak biasa.
💡 Kesimpulan:
Ini bukan sekadar peretasan terhadap platform perdagangan, ini peretasan terhadap cara kita berpikir tentang keamanan digital.
#PelanggaranKeamananBybit
Penafian: Berisi opini pihak ketiga. Bukan nasihat keuangan. Mungkin berisi konten bersponsor. Lihat syarat dan ketentuan.