Dana pensiun semua hilang! Dompet XRP investor diretas, 3 juta dolar mengalir ke Huione Pencucian Uang

Pria berusia 54 tahun yang telah pensiun, Brandon LaRoque, menemukan bahwa 1.200.000 XRP (senilai sekitar 3.000.000 dolar AS) di Dompet XRP Ellipal-nya dicuri, ini adalah seluruh tabungannya yang ia kumpulkan sejak 2017. Penyidik blockchain ZachXBT melacak kehilangan ini melalui lebih dari 120 pertukaran cross-chain dan menemukan bahwa aset tersebut menghilang di meja perdagangan OTC yang terhubung dengan Huione.

Pensiun Hilang Sepenuhnya: Kerentanan Keamanan Mematikan pada Dompet XRP

（sumber：Youtube）

Peristiwa ini bermula awal bulan ini, ketika Brandon LaRoque menemukan bahwa 1.200.000 XRP di Dompet Ellipal XRP miliknya dicuri. Perlu dicatat bahwa jumlah yang dicuri ini, berdasarkan kurs saat ini, bernilai 2.880.000 dolar AS, merupakan seluruh tabungan seumur hidup pria berusia 54 tahun ini sejak 2017.

Dia awalnya berpikir bahwa dananya aman di dompet dingin. Namun, kemudian, LaRoque menemukan bahwa dengan mengimpor frase benihnya ke dalam aplikasi seluler Ellipal, ia sebenarnya telah mengubah pengaturannya menjadi dompet panas. Kesalahpahaman fatal ini mengakibatkan konsekuensi yang menghancurkan.

“Selama delapan tahun terakhir, saya telah mengumpulkan XRP,” kata Larocque dalam video YouTube tentang pencurian tersebut. “Ini setara dengan seluruh kehidupan pensiun kami, saya tidak tahu harus berbuat apa.” Suara putus asa semacam ini tidak jarang terjadi dalam kasus pencurian dompet XRP.

Kasus Ellipal sekali lagi memicu perdebatan tentang keamanan penyimpanan mandiri. Korban bingung antara dompet dingin Ellipal dan dompet panas berbasis aplikasi, yang mencerminkan masalah desain dompet XRP yang tidak jelas serta kurangnya pendidikan pengguna. Dompet dingin seharusnya sepenuhnya offline, dan kunci pribadi tidak pernah terpapar ke jaringan. Namun, ketika pengguna memasukkan frasa benih ke dalam aplikasi mobile, kunci pribadi terekspos di lingkungan jaringan, yang pada dasarnya mengubahnya menjadi dompet panas.

Ambiguitas dalam desain ini adalah masalah umum bagi banyak dompet XRP. Pengguna sering kali salah mengira bahwa selama mereka menggunakan dompet perangkat keras atau dompet “dingin” yang diklaim oleh merek, dana mereka akan aman sepenuhnya. Namun, kesalahan apa pun dalam proses operasi dapat merusak keamanan. Apakah Ellipal telah memberikan peringatan yang cukup tentang risiko ini dalam antarmuka pengguna dan dokumen penjelasannya, patut dipertanyakan.

Huione jaringan pencucian uang: 150 miliar dolar saluran hitam

ZachXBT melakukan penyelidikan on-chain yang menemukan bahwa penyerang menukarkan XRP yang dicuri melalui 120 transaksi jembatan Ripple-to-Tron. Mereka memanfaatkan Bridgers (dulu dikenal sebagai SWFT), dan kemudian mengintegrasikan dana ke Tron. Dalam waktu tiga hari, aset-aset ini menghilang di meja perdagangan OTC yang terhubung dengan Huione.

Departemen Keuangan AS baru-baru ini menerapkan sanksi terhadap jaringan pembayaran Asia Tenggara ini karena perusahaan tersebut melakukan pencucian uang Huione melalui penipuan, perdagangan manusia, dan kejahatan siber, dengan jumlah yang terlibat mencapai miliaran dolar. Kasus ini menghubungkan pencurian dompet XRP dengan jaringan Huione, mengungkapkan kelemahan kunci dalam penegakan hukum global. Otoritas AS menyatakan bahwa pencucian uang Huione berkontribusi pada lebih dari 15 miliar dolar transfer ilegal.

Model operasi jaringan pencucian uang Huione sangat tersembunyi. Sebagai penyedia layanan pembayaran dan valuta asing yang tampak legal, Huione beroperasi di beberapa negara di Asia Tenggara, menyediakan saluran bagi pelanggar hukum untuk menukar cryptocurrency dengan mata uang fiat. Karena regulasi di negara-negara ini relatif longgar dan koordinasi penegakan hukum sulit, Huione dapat menghindari sanksi dalam jangka panjang.

Kekurangan adalah, bahkan jika jalur blockchain terbuka, saluran pencucian uang lintas yurisdiksi tetap sulit untuk diputus. ZachXBT dapat melacak aliran dana ke Huione, tetapi tidak dapat menghentikan dana di sana dari dicairkan dan menghilang. Kekosongan penegakan hukum ini adalah penyebab mendasar mengapa kejahatan cryptocurrency merajalela.

Proses Tiga Langkah Pencucian Uang Huione:

Langkah Pertama: cross-chain obfuscation: mengonversi XRP menjadi Tron melalui 120 transaksi jembatan, mengaburkan sumber dana

Langkah kedua: Penggabungan transfer: Menggabungkan dana kecil menjadi jumlah besar, mentransfer ke alamat baru di jaringan Tron

Langkah Ketiga: Perdagangan OTC: Tukar ke fiat melalui meja perdagangan OTC yang terhubung dengan Huione, sepenuhnya menghilang

95% Pemulihan Perusahaan adalah Perampok: Rantai Industri Penipuan Kedua

Meskipun penegak hukum sering kali sulit untuk merespons dengan cepat, ZachXBT menyatakan bahwa pemulihan ekonomi telah muncul, memanfaatkan emosi putus asa para korban. Dia menulis: “Pelajaran lain adalah bahwa lebih dari 95% perusahaan pemulihan adalah predator, mereka hanya menyediakan laporan dasar dan mengenakan biaya tinggi, tetapi jarang memberikan wawasan yang dapat ditindaklanjuti.”

Dia menambahkan bahwa banyak perusahaan semacam itu bergantung pada optimasi mesin pencari dan penargetan media sosial untuk menarik korban yang dompet XRP-nya dicuri. Mereka biasanya hanya memberikan laporan blockchain yang dangkal, atau memberitahu pelanggan untuk “menghubungi bursa”. Nilai nyata dari layanan ini sangat rendah, tetapi biayanya sangat tinggi, sering kali meminta korban untuk membayar biaya awal puluhan ribu dolar atau bagi hasil yang tinggi setelah berhasil memulihkan.

Mekanisme lapisan kedua ini mengubah banyak serangan peretasan bernilai tinggi menjadi kejahatan multi-tahap. Pertama, serangan dilakukan oleh para peretas itu sendiri, kemudian ada operator pemulihan palsu yang berjanji untuk mengembalikan dana yang sebenarnya sudah lenyap. Bagi para korban seperti LaRoque yang telah kehilangan 3 juta dolar, janji-janji palsu dari perusahaan pemulihan ini hanya menambah penderitaan.

ZachXBT menunjukkan bahwa tragedi yang sebenarnya adalah, gelombang kerugian berikutnya mungkin bukan berasal dari peretas, tetapi dari mereka yang mengklaim membantu memulihkan dana. Ketika para korban mencari bantuan dalam keputusasaan, perusahaan-perusahaan predator ini memanfaatkan harapan dan ketidakberdayaan mereka, memeras nilai terakhir.

XRP Dompet Keamanan Pelajaran: Kebingungan Mematikan antara Dompet Dingin dan Panas

Selain petunjuk pencucian uang dan pemulihan penipuan perusahaan, kasus Ellipal sekali lagi memicu perdebatan tentang keamanan pengelolaan mandiri Dompet XRP. Korban bingung antara Dompet dingin Ellipal dan Dompet panas berbasis aplikasi, yang mencerminkan masalah desain Dompet yang tidak jelas dan kurangnya pendidikan pengguna.

Perbedaan mendasar antara dompet dingin dan dompet panas terletak pada apakah kunci pribadi terhubung ke jaringan. Kunci pribadi dompet dingin yang sejati tidak pernah terhubung ke perangkat yang terhubung ke internet, semua tanda tangan transaksi dilakukan di lingkungan offline. Sebaliknya, kunci pribadi dompet panas disimpan di perangkat yang terhubung ke internet, yang memudahkan penggunaan tetapi memiliki keamanan yang lebih rendah.

Kesalahan LaRoque adalah memasukkan frasa benih ke dalam aplikasi seluler. Meskipun perangkat keras Ellipal itu sendiri adalah Dompet dingin, setelah frasa benih dimasukkan ke dalam aplikasi yang terhubung ke internet, keamanan seluruh Dompet XRP menurun menjadi Dompet panas. Kesalahan operasional ini mungkin berasal dari pemahaman yang salah tentang cara kerja Dompet, atau bisa jadi antarmuka pengguna Ellipal tidak cukup memperingatkan risiko dari operasi semacam itu.

Karena kurangnya kemampuan penegak hukum untuk menangani kejahatan terkait cryptocurrency, harapan untuk memulihkan 3 juta dolar LaRoque sangat kecil. Dengan semakin maraknya jaringan pencucian uang lintas negara seperti Huione, kesulitan untuk memulihkan juga meningkat. Bahkan jika ZachXBT dapat melacak aliran dana, begitu dana masuk ke jaringan Huione dan ditukar dengan mata uang fiat, transparansi blockchain menjadi tidak berfungsi.