Volubit.id —  Jagat kripto kembali dihebohoan dengan peristiwa jahanam yang terjadi pada 21 Februari 2025 malam WIB. Kabar pahit yang datang ialah peretasan bursa kripto ByBit dengan taksiran kerugian mencapai $14,3 miliar atau setara Rp23 triliun lebih.

Serangan hacker yang dikaitkan dengan komplotan penyamun legendaris asal Korea Utara (Korut) tersebut menjadi peretasan terbesar sepanjang sejarah, mengalahkan peretasan Ronin Network senilai $615 pada 2022 lalu, yang ironisnya juga dilakukan oleh komplotan Lazarus.

Berdasarkan data yang dihimpun, peretasan ini salah satunya menggunakan teknik manipulasi antar muka atau UI spoofing yang menyasar wallet multisig milik bursa. Teknik ini juga dikenal dengan manipulasi blind signing.

Bos Bybit Ben Zhou mengonfirmasi adanya manipulasi UI ini. Para peretas memanipulasi tampilan transaksi di platform cold wallet agar terlihat lazim tanpa ada peringatan atau kejanggalan di mata para penandatangan (signer). Padahal, sebenarnya tandatangan tersebut menyetujui transfer dana dari Bybit ke wallet milik peretas.

Bybit ETH multisig cold wallet just made a transfer to our warm wallet about 1 hr ago. It appears that this specific transaction was musked, all the signers saw the musked UI which showed the correct address and the URL was from @safe . However the signing message was to change…

— Ben Zhou (@benbybit) February 21, 2025

Rekayasa UI spoofing bekerja dengan cara menyisipkan kode berbahaya ke dalam UI yang digunakan oleh penandatangan transaksi. Wallet multisig, yang merupakan fitur keamanan utama bursa kripto seperti ByBit, mengharuskan adanya persetujuan beberapa pihak untuk setiap transaksi besar.

Tapi, dengan adanya teknik manipulasi tampilan ini, penandatangan tidak lagi melihat informasi atau kode yang sebenarnya. Biasanya, sejumlah platform wallet akan memberi peringatan bila ada kejanggalan. Bila transfer akan dilakukan ke alamat wallet yang belum pernah berinteraksi misalnya, akan ada peringatan atau pemberitahuan. Namun teknik manipulasi UI membuat peringatan ini tidak muncul pada wallet.

Lantaran hal tersebut, para signer wallet multisig Bybit hanya melihat informasi yang telah dimanipulasi dan tampak sesuai dengan prosedur, namun sebenarnya transaksi tersebut mengarah ke wallet peretas. Para penandatangan, yang biasanya hanya melihat jumlah dan alamat tujuan di layar, menyetujui transaksi tanpa menyadari bahwa dana sedang dipindahkan ke tangan yang salah.

Dalam sistem multisig, penandatangan sering kali tidak memverifikasi setiap bagian kode transaksi secara mendalam, mereka hanya melihat tampilan UI. Karena peretas berhasil mengubah tampilan ini, mereka menipu penandatangan dengan transaksi yang tampak normal.

Salah satu bagian canggih dari serangan ini adalah penggunaan fungsi tersembunyi dalam smart contract yang disebut sweepERC20(). Fungsi ini memungkinkan peretas untuk mengakses dana dari wallet tanpa perlu memiliki private key. Begitu penandatangan menyetujui transaksi yang tampaknya sah, fungsi ini dijalankan dan dana dipindahkan dengan cepat ke alamat yang telah disiapkan.

Bukan Cuma Spoofing

Spoofing UI diduga menjadi salah satu teknik untuk mengeksekusi perampokan. Belum diketahui secara pasti bagaimana Lazarus memasukan kode manipulasi UI ke dalam sistem wallet multisig. Dugaan kuat yang beredar, malware spoofing tersebut terinstal dalam perangkat milik signer atau sistem internal perusahaan Bybit.

Dengan kata lain, serangan ini tidak hanya mengandalkan eksploitasi teknis langsung terhadap sistem, namun juga bisa jadi melibatkan pengumpulan informasi untuk mengidentifikasi individu yang memiliki akses ke wallet multisig. Setelah para signer diidentifikasi, langkah berikutnya adalah membuat mereka secara tidak sadar menginstal malware, yang memungkinkan peretas memanipulasi tampilan dan proses transaksi di UI mereka.

Kekhawatiran malware telah menginjeksi sistem perusahaan Bybit secara menyeluruh juga muncul. Namun dugaan ini dapat ditepis–setidaknya sampai saat ini–lantaran Bybit berhasil memproses permintaan withdraw aset yang melonjak pascaserangan dan belum ada laporan adanya aksi pencurian lanjutan dalam proses tersebut.

Komplotan penyamun ini juga diketahuibtelah melakukan beberapa kali uji coba cek ombak dua hari sebelum serangan, laiknya perampok profesional yang mengamati target sebelum beraksi. Metode serupa juga disebut telah digunakan dalam beberap serangan yang terjadi sebelumnya, termasuk pada WazirX, Radiant Capital, dan DMM Bitcoin. Dalam kasus-kasus tersebut, dana dicuri langsung dari wallet multisig, namun private key-nya sendiri tidak dikompromikan.

2 days before the hack , the attacker did several dry runs pic.twitter.com/fCra2ieRBm

— Meir Dolev (@Meir_Dv) February 21, 2025

Background on the referenced hacks (feel free to skip):

1. Funds were stolen from each org’s multisig.

2. Keys themselves were not compromised.

3. In Radiant and WazirX and maybe DMM, the keys backing the multisig were actually only on hardware wallets + actually controlled by… pic.twitter.com/P4fcsvzFGr

— Tay 💖 (@tayvano_) October 20, 2024