Pendiri proyek Ordinal Rugs mengatakan peretas menargetkan anggota server Bitcoin Rock Discord pada hari Selasa, mencuri $1.47 BTC, sekitar $103,003, dan 4 BTC, sekitar $208,196, senilai prasasti Ordinal dari dompet mereka.
Ordinal adalah hal yang paling populer dalam koleksi digital; lebih dari 63 juta prasasti telah dicetak di blockchain Bitcoin, dengan biaya hanya 6388 BTC hingga saat ini, sekitar $450 juta, menurut laporan Dune Analytics. Hal ini membuat Bitcoin menjadi target yang menggiurkan bagi para peretas.
“Dalam sepuluh tahun yang saya habiskan di kripto, ini adalah pertama kalinya saya kehilangan sejumlah besar uang melalui peretasan/penipuan (apalagi penguras dompet),” pendiri nama samaran Archon mengungkapkan dalam utas tweet— mengakui bahwa dia ceroboh, meskipun menerapkan kontrol keamanan yang kuat.
“Saya bukan orang yang menganggap enteng op-sec,” tulis mereka. “Semua login pribadi saya diautentikasi dengan Yubikeys, dan sebagian besar aset/ordinal kripto saya aman di perangkat keras + dompet multi-sig.”
Dompet Terkuras, Port-Mortem…
Sebelumnya hari ini saya menjadi korban pengurasan dompet di salah satu dompet panas pribadi saya, kehilangan 1.47 BTC ditambah sekitar ~4 BTC senilai ordinal ($300k+ USD)
Dalam sepuluh tahun yang saya habiskan di crypto, ini adalah pertama kalinya saya kehilangan jumlah yang cukup besar… pic.twitter.com/nhsBDmrWWV
— Archon ⚡️ (@bitarchon) 26 Maret, 2024
Serangan dunia maya yang menargetkan dompet kripto adalah hal biasa, dan selebriti serta komunitas terkemuka sering menjadi sasarannya. Pada Mei 2022, aktor Seth Green menjadi korban serangan phishing yang merampok NFT Bored Ape Yacht Club miliknya. Meskipun pencuri secara tradisional memusatkan perhatian pada blockchain Ethereum dan Solana, Ordinal adalah hal baru yang menarik, yang menarik para penipu—dan menjadikan dompet Bitcoin sebagai target mereka.
Seperti yang dijelaskan Archon, peretasan dimulai dengan pesan yang dikirim ke anggota Bitcoin Rock Discord yang mengiklankan hadiah Runestones Ordinals yang populer. Akun tersebut menyertakan tautan ke tiruan situs web Magic Eden NFT yang berbahaya. Ketika Archon menghubungkan dompetnya ke situs dan menandatangani transaksi, pencuri berhasil mencuri NFT.
“Saya tidak tahu apakah ada orang lain yang terkena dampaknya,” kata Archon Dekripsi. “Saya menyadari [pencurian] kurang dari satu menit setelah menandatangani [transaksi].”
Para peretas bahkan menggunakan salah satu prasasti yang dicuri, 53,109,400, untuk membayar biaya transaksi.
“Tidak ada dana/akun/login yang terkait dengan [Ordinal Rugs] yang terpengaruh… ini hanya dompet pribadi saya dan saya sendiri yang harus disalahkan di sini,” kata Archon. “Tak perlu dikatakan lagi, saya tidak akan membiarkan hal ini terjadi lagi.”
Menurut perusahaan keamanan blockchain Halborn, kurangnya uji tuntas dan FOMO menyebabkan kolektor melakukan kesalahan yang biasanya tidak mereka lakukan.
“Dengan melakukan ping ke seluruh server, dia mengira pesan itu berasal dari admin sehingga dia mempercayai URL itu dan mengkliknya,” kata COO Halborn, David Schwed. Dekripsi. “Jadi sebenarnya hanya sebagian dari rekayasa sosial dan phishing.”
Phishing adalah bentuk kejahatan dunia maya yang mencoba mencuri sesuatu yang berharga (dalam hal ini, NFT) melalui email, situs web, atau media sosial yang menipu.
Schwed menyoroti kemudahan mengkloning situs web dan mengatakan pengguna dompet harus ekstra waspada, termasuk memeriksa ulang URL situs web.
“Ada plugin yang dapat digunakan orang yang mungkin mengingatkan mereka bahwa itu adalah domain palsu,” kata Schwed kepada Decrypt. “Ini akan terlihat seperti saat domain didaftarkan.”
Schwed mengatakan opsi lainnya adalah menggunakan ekstensi browser yang memblokir domain yang baru diamati dan didaftarkan.
Tidak ingin ketinggalan dari kegilaan Ordinal, industri rumahan dompet yang kompatibel telah online, tetapi mereka tidak memiliki sejarah dan kebijaksanaan yang diperoleh dengan susah payah dari serangan yang dialami oleh dompet ramah NFT lama seperti MetaMask dan Phantom. Penyedia veteran mempunyai kekuatan untuk membuktikan komitmen mereka terhadap keamanan, dengan menawarkan fitur seperti Blockaid dan peringatan serangan berbahaya yang mungkin tidak dimiliki oleh dompet baru.
“Beberapa dompet memiliki keamanan bawaan, dan yang lainnya tidak,” kata Schwed, mencatat integrasi Metamask dengan Blockaid tahun lalu. “Banyak dari mereka fokus pada kontrak pintar, itulah sebabnya mereka menargetkan BTC.”
Diedit oleh Ryan Ozawa.
Tetap di atas berita crypto, dapatkan pembaruan harian di kotak masuk Anda.
Sumber: https://decrypt.co/223592/bitcoin-ordinals-hot-wallet-discord-phishing-hack