Eksploitasi phishing mencuri $3 juta USDC dari dompet multi-signature

• Investor kehilangan $3 juta dalam serangan phishing
• Eksploitasi menggunakan kontrak berbahaya yang disamarkan dan telah diverifikasi
• Request Finance mengonfirmasi versi palsu kontrak sedang digunakan

Seorang investor cryptocurrency kehilangan lebih dari $3 juta dalam stablecoin setelah menjadi korban serangan phishing yang sangat canggih yang mengeksploitasi dompet multisignature. Kasus ini terungkap pada 11 September oleh peneliti onchain ZachXBT, yang mencatat bahwa dompet korban telah dikuras sebesar $3,047 juta dalam USDC.

Penyerang dengan cepat mengonversi dana tersebut ke Ethereum dan mengalihkannya ke Tornado Cash, sebuah protokol privasi yang sering digunakan untuk menyembunyikan pergerakan dana ilegal.

Menurut Yu Xian, pendiri SlowMist, alamat yang dikompromikan adalah Safe multisignature 2-dari-4. Serangan terjadi setelah korban mengotorisasi dua transaksi berturut-turut ke alamat palsu yang meniru alamat asli. Untuk meningkatkan efektivitas penipuan, peretas mengembangkan kontrak berbahaya di mana karakter pertama dan terakhir dari alamat tersebut sama dengan yang benar, sehingga penipuan sulit dideteksi.

Xian menjelaskan bahwa penipuan ini menggunakan fitur Safe Multi Send, menyamarkan persetujuan berbahaya dalam otorisasi yang tampak rutin. "Otorisasi abnormal ini sulit dideteksi karena bukan persetujuan standar," katanya.

Melihat kasus pencurian yang diposting oleh @zachxbt, cukup menarik, alamat yang dicuri adalah alamat Safe multisignature 2/4:
0xE7c15D929cdf8c283258daeBF04Fb2D9E403d139

Sebanyak 3,047,700 USDC yang dicuri berasal dari dua transaksi ini, berurutan:
3M USD
47,700 USDC

Merupakan kasus otorisasi yang dicuri, korban USDC… pic.twitter.com/KQPYxGvugP

— Cos(余弦)😶‍🌫️ (@evilcos) 12 September 2025

Penyelidikan Scam Sniffer mengungkapkan bahwa kontrak palsu telah dideploy hampir dua minggu sebelumnya, sudah diverifikasi di Etherscan, dan dikonfigurasi dengan fungsi "batch payment" agar tampak sah. Pada hari serangan, otorisasi dilakukan melalui antarmuka Request Finance, memberikan akses kepada penyerang ke dana tersebut.

Menanggapi hal ini, Request Finance mengonfirmasi bahwa aktor jahat telah menerapkan versi palsu dari kontrak pembayaran mereka. Perusahaan menekankan bahwa hanya satu pelanggan yang terdampak dan kerentanan tersebut telah diperbaiki.

🚨 Seorang korban kehilangan $3.047M USDC kemarin melalui serangan canggih yang melibatkan kontrak Request Finance palsu di dompet Safe.

Temuan utama:
• Dompet multi-sig Safe 2/4 milik korban menunjukkan transaksi batch melalui antarmuka aplikasi Request Finance
• Tersembunyi di dalamnya: persetujuan ke… pic.twitter.com/U9UNfYNZhv

— Scam Sniffer | Web3 Anti-Scam (@realScamSniffer) 12 September 2025

Meski begitu, Scam Sniffer memperingatkan bahwa serangan phishing serupa dapat dilakukan melalui berbagai vektor, termasuk malware, ekstensi browser yang dikompromikan, cacat pada front-end aplikasi, atau bahkan pembajakan DNS. Penggunaan kontrak yang tampaknya telah diverifikasi dan alamat yang hampir identik memperkuat bagaimana penyerang terus menyempurnakan taktik mereka untuk mengelabui perhatian pengguna cryptocurrency.