Teknogav.com - Insiden keamanan terjadi di pasar kripto beberapa bulan lalu, penyerang berhasil melarikan aset seniilai USD1,5miliar dari bursa kripto Bybit. Kelompok dengan nama sandi TraderTraitor dari Korea Utara telah ditetapkan Federal Bureay of Investigation (FBI) sebagai pelaku. Nama lain dari kelompok ini adalah Lazarus, APT38, atau BlueNoroff. Serangan terus meneurs, canggih dan berkelanjutan di bidang aset kripto menjadi gaya khas TraderTraitor. Mereka juga meretas pengembang dompet, merampok bursa kripto, mencuri dari pengguna dan membuat permainan palsu.

Pembobolan yang dilakukan TraderTraitor ini menekankan kelemahan dalam ekosistem kripto modern yang bisa menjadi pelajaran bagi pengguna. Pada tahun 2022, TraderTraitor berhasil mencuri USD540 juta dari blockchain Ronin Networks yang dibuat untuk game Axie Infinity. Pencurian dilakukan dengan menginfeksi komputer salah satu pengembang game tersebut dengan iming-iming tawaran pekerjaan palsu dalam berkas PDF yang terinfeksi. Rekayasa sosial tersebut masih menjadi teknik kelompok tersebut sampai sekarang.

Baca juga: Waspada, Malware Baru Incar Aset Kripto Pengguna macOS

TraderTraitor kembali membobol lebih dari USD300 juta dari bursa kripto Jepang DDM Bitcoin pada Mei 2024 sampai bursa tersebut bangkrut. Sebelumnya, di tahun 2020, bursa kripto KuCoin jadi sasaran dengan hasil curian USD257 juta. Pencurian tersebut dilakukan melalui 'kunci pribadi yang bocor' untuk hot wallet.

Baca juga: Waspada, Dompet Kripto Palsu Curi Aset Kripto Senilai Rp450 Juta

Taktik pencurian aset kripto terus diasah Lazarus selama lebih dari satu dasawarsa. Kaspersky telah menulis mengenai serangkaian serangan terhadap bank dan bursa kripto pada tahun 2018. Serangan dilakukan melalui aplikasi perdagangan aset kripto yang terinfeksi Trojan sebagai bagian dari Operasi AppleJeus. Total pendapatan kriminal para pelaku yang terkait dengan Korea Utara diperkirakan para pakar di Elliptic adalah sekitar USD6 miliar.

Peretasan yang dilakukan Lazarus menunjukkan sulitnya mengamankan dana yang mengalir melalui sistem blockchain.  Tak banyak yang bisa dilakukan untuk membatalkan transaksi atau mengembalikan uang. Beberapa pakar industri kripto memperkirakan peretasan ini meningkatkan kepemilikan aset kripto secara mandiri.

Baca juga: Skema Phishing Baru Targetkan Pemilik Aset Kripto di Seluruh Dunia

Tips Aman bagi Investor Aset Kripto

Kaspersky memberikan beberapa tips berikut ini agar aman dalam menyimpan aset kripto:

• Beli dompet perangkat keras dengan layar untuk melindungi aset kripto dengan efektif. Lakukan penelitian terlebih dahulu dan pastikan membeli dompet dari vendor dengan repotasi baik. Beli secara langsung, jangan membeli dompet bekas atau dari pasar. Ketika menggunakan dompet untuk menandatangani transfer, selalu periksa alamat penerima di layar komputer dan layar dompet. Langkah ini untauk memastikan tidak ada penggantian alamat dompet kripto oleh kontrak pintar berbahaya atau Trojan clipper.
• Jangan menyimpan frase awal dompet dalam bentuk elektronik. Penyimpanan frase dalam bentuk foto atau gambar di galeri pun tidak aman karena Trojan modern bisa mengenali data dalam foto. Catatan dalam bentuk fisik seperti di kertas merupakan penyimpanan yang aman. Pertimbangkan juga lokasi penyimpanan agar terlindungi dari bencana alam dan akses tidak sah. Bisa juga membagi frase awal menjadi beberapa bagian.
• Jangan menyimpan semua aset kripto di satu tempat jika memiliki aset kripto dalam jumlah besar atau beberapa jenis. Gunakan beberapa dompet, simpan sejumlah kecil di bursa kripto untuk kebutuhan transaksi. Sedangkan jumlah besar bisa disebar dalam beberapa dompet kripto perangkat keras.
• Pakai komputer khusus untuk transaksi kripto jika memungkinkan. Batasi akses secara fisik, misalnya disimpan di brankas, lemari terkunci, atau ruangan terkunci). Selain itu, pakai enkripsi disk dan login dengan kata sandi dan buat akun terpisah dengan kata sandi yang berbeda-beda. Pasang juga perlindungan yang andal. Lakukan koneksi ke internet hanya saat transaksi dan gunakan hanya untuk kegiatan terkait dompet. Pakai perangkat lain untuk main game, membaca berita dan berinteraksi dengan teman-teman
• Jika tidak bisa mendedikasikan komputer terpisah, jaga kebersihan digital dengan ketat pada komputer utama. Buat akun terpisah dengan hak istimewa rendah untuk operasi kripto atau bukan administrator. Akun lain untuk bekerja, berinteraksi dan main game juga dibatasi sebagai bukan administrator. Jangan berikan akses ke komputer bagi orang luar, serta jangan berbagi kata sandi admin dengan siapa pun.
• Hati-hati ketika memilih perangkat lunak dompet kripto, pelajari deskripsinya terlebih dahulu dan pastikan aplikasi tersebut sudah beredar lama di pasaran. Pastikan mengunduh dompet kripto dari situs web resmi dan tanda tangan digital distribusi sesuai dengan situs web dan nama vendor. Pakai solusi keamanan terkini untuk memindai pada komputer sebelum menginstal dan menjalankan perangkat lunak dompet kripto
• Hati-hati dengan pembaruan, walau biasanya disarankan untuk segera memperbarui perangkat lunak, kebijakan terkait aplikasi kripto ada sedikit penyesuaian. Sebaiknya tunggu sekitar seminggu setelah versi terbaru dirilis dan baca ulasan sebelum menginstalnya. Penantian ini memberi waktu bagi komunitas untuk menemukan bug atau Trojan yang mungkin menyusup dalam pembaruan
• Pakai solusi keamanan yang kuat di komputer dan smartphone, perbarui sistem operasi dan browser secara rutin, Selain itu, pakai kata sandi yang kuat dan unik. Salah satu solusi keamanan yang kuat untuk digunakan adalah Kaspersky Premium
• Waspada phishing dalam pesan melalui email, messenger dan sejenisnya karena penipuan terkait aset kripto dapat bersifat multifaset dan canggih. Informasi terkait penipuan kripto terkini bisa dilihat dalam blog atau kanal Telegram Kaspersky dan sumber keamanan siber lain.

Demikianlah beberapa tips dari Kaspersky yang dapat diterapkan agar senantiasa aman dalam menyimpan aset kripto.