Perusahaan keamanan siber terkemuka, Kaspersky, baru-baru ini mengungkapkan sebuah kasus pencurian aset kripto yang melibatkan dompet perangkat keras palsu. Menurut investigasi mereka, sejumlah aset kripto senilai 30.000 dolar Amerika atau setara dengan Rp. 448.810.000 (dengan kurs rupiah Rp14927 per dollar) berhasil dicuri melalui dompet kripto jenis ini.
Sebagai salah satu metode yang populer di kalangan investor aset digital, dompet perangkat keras—atau yang sering disebut sebagai cold wallet—dipercaya sebagai cara yang aman untuk menyimpan aset kripto. Cold wallet beroperasi offline dan umumnya dianggap lebih aman dibandingkan dengan dompet yang selalu terhubung ke internet.
Namun, Kaspersky menegaskan bahwa bahkan dompet perangkat keras sekalipun bisa rentan terhadap risiko keamanan, terutama jika pengguna tidak berhati-hati dan menggunakan perangkat yang palsu atau terinfeksi.
Melalui laporan investigasi mereka, Kaspersky membagikan rincian sebuah insiden pencurian aset kripto yang melibatkan dompet perangkat keras palsu. Akibat insiden tersebut, korban kehilangan sebanyak 1,33 BTC atau setara dengan 29.585 dolar Amerika.
Insiden ini mencuat ketika korban, yang tidak melakukan transaksi apa pun pada hari tersebut, menyadari bahwa asetnya telah dicuri. Dengan perangkat cold wallet yang tidak terhubung ke komputer, korban tidak segera mengetahui pencurian tersebut. Penipu berhasil mentransfer 1,33 BTC tanpa sepengetahuan korban.
Kaspersky menemukan bahwa perangkat tersebut menunjukkan tanda-tanda gangguan saat dibuka. Perangkat yang tampak identik dengan aslinya ini ternyata diisi dengan lem dan disatukan dengan selotip dua sisi, bukan disatukan secara ultrasonik seperti perangkat asli. Selain itu, terdapat perbedaan dalam mikrokontroler dan mekanisme perlindungan baca serta memori flash yang dinonaktifkan sepenuhnya.
Penyerang telah membuat beberapa perubahan pada firmware asli, termasuk menghapus kontrol mekanisme perlindungan dan mengganti seed frase. Ini memungkinkan penyerang untuk memiliki total 1.280 opsi dalam mencuri kunci dompet palsu tersebut. Dengan demikian, penyerang dapat mengoperasikan dompet kripto tersebut tanpa sepengetahuan pemiliknya.
Penemuan ini membuka mata investor aset kripto tentang pentingnya berhati-hati dalam memilih dan menggunakan dompet perangkat keras. Meski tampak berfungsi seperti biasa, perangkat tersebut dapat sepenuhnya dikendalikan oleh penipu sejak awal jika pengguna tidak berhati-hati.
Beri Komentar (menggunakan Facebook)