- SBI Crypto dilanggar, kehilangan aset $21 juta melalui dugaan operasi pencucian.
- Penipuan phishing yang menargetkan GMGN mengelabui 107 pengguna untuk menyetujui transaksi palsu.
- Penipuan token Honeypot naik 600% dari bulan ke bulan, dengan lebih dari 2.100 token terdeteksi.
Web3 telah memasuki fase baru ancaman dunia maya, dengan penyerang sekarang memanfaatkan kecerdasan buatan, alat otomatisasi, dan rekayasa sosial yang kompleks untuk mengeksploitasi pengguna di seluruh jaringan terdesentralisasi.
Menurut GoPlus Security , lebih dari $45,84 juta hilang pada bulan Oktober saja dari lonjakan penipuan, serangan phishing, eksploitasi token, dan peretasan dompet.
Data tersebut mengungkapkan bagaimana scammers mengembangkan metode mereka, menciptakan eksploitasi berdampak tinggi yang telah memengaruhi ribuan pengguna dan platform di Ethereum, Binance Smart Chain, dan Base.
Peretas menggunakan AI dan otomatisasi untuk meningkatkan kampanye phishing
GoPlus mengamati peningkatan tajam dalam serangan phishing yang menyebabkan kerugian lebih dari $3,5 juta.
Semakin banyak penipuan ini didukung oleh platform “Phishing-as-a-Service”, di mana pelaku ancaman menggunakan alat AI untuk membuat situs web palsu dengan cepat dan menerapkan kampanye skala besar dengan biaya operasional yang lebih rendah.
Salah satu kasus phishing terbesar melibatkan platform perdagangan GMGN.
Dalam insiden ini, 107 pengguna disesatkan oleh situs web pihak ketiga palsu untuk mengizinkan transaksi berbahaya. Kerugian berjumlah lebih dari $700.000.
Penipuan phishing mereplikasi interaksi dompet yang sah, mengelabui korban untuk menandatangani permintaan persetujuan yang memberi penyerang kendali atas dana mereka.
Dalam kasus lain, seorang trader menyetujui perintah “increaseAllowance” yang berbahaya, mengakibatkan kerugian $325.000 di Coinbase Wrapped Bitcoin.
Secara terpisah, pengguna lain mengalami kerugian $ 440.000 setelah menandatangani transaksi “izin” penipuan.
Kedua eksploitasi tersebut menyoroti peningkatan persetujuan kontrak palsu, seringkali diaktifkan oleh antarmuka yang menipu yang meniru aplikasi tepercaya.
Eksploitasi canggih terkait dengan taktik pencucian gaya negara
Eksploitasi tunggal terbesar berasal dari SBI Crypto, yang mengalami pelanggaran yang menguras aset digital senilai $21 juta. Kerugian-kerugiannya termasuk Bitcoin, Ethereum, Litecoin, Dogecoin, dan Bitcoin Cash.
Meskipun SBI Crypto tidak secara resmi mengkonfirmasi sumber pelanggaran tersebut, investigasi bersama oleh ZachXBT dan Cyvers menunjukkan pola yang mirip dengan yang digunakan oleh kelompok peretas Korea Utara.
Para penyerang diduga menyalurkan dana melalui Tornado Cash, mixer kripto yang dikenal sebelumnya dijatuhi sanksi karena perannya dalam pencucian pencurian yang disponsori negara.
Metode pencucian ini sangat mencerminkan aktivitas yang terkait dengan Lazarus Group, meskipun laporan tersebut menekankan bahwa hubungannya masih belum diverifikasi.
Platform Web3 diserang dari token honeypot
Di samping phishing dan eksploitasi, laporan tersebut menemukan lonjakan dramatis dalam token honeypot.
Ini adalah kontrak pintar berbahaya yang memungkinkan pengguna untuk membeli token tetapi mencegah mereka menjual atau menarik dana.
Token honeypot melonjak 600% bulan lalu, mencapai 2.189 token yang teridentifikasi—meskipun masih jauh lebih sedikit dari 40.000 yang tercatat pada Juni 2025.
Sumber: GoPlus Security
Binance Smart Chain menyumbang sebagian besar token ini sebesar 1.780, diikuti oleh 216 di Ethereum dan 131 di Base.
Token ini disematkan dengan batasan tersembunyi yang memblokir transaksi, membuat dana investor terdampar dalam aset tidak likuid.
Peningkatan mereka menggarisbawahi pergeseran ke arah penipuan tingkat kontrak tertanam, yang dapat melewati alat keamanan dasar.
Token dan sosial disusupi dalam eksploitasi yang lebih luas
Ekosistem yang lebih luas juga mengalami kerugian dari pelanggaran media sosial dan berbasis platform.
Akun sosial resmi Astra Nova dibajak, memicu aksi jual skala besar dari token aslinya RVV dan menyebabkan kerugian sekitar $10,3 juta.
Dalam eksploitasi terpisah, platform keuangan terdesentralisasi Garden Finance dilanda kerentanan yang merugikan pengguna sekitar $ 10,8 juta, menurut ZachXBT.
Insiden ini mencerminkan permukaan serangan yang melebar di antarmuka yang dihadapi pengguna dan kode kontrak backend.
