Usai melewati hari ketiga sistem telah up kembali, dengan memastikan bahwa aset member aman dan tidak ada insiden serupa. 

“Market trading, depo/wd rupiah dan beberapa wallet coin sudah dibuka. Coin lain akan dibuka secara bertahap. Untuk wd, ada kemungkinan akan lebih lama dari biasanya (hitungan menit) karena antrian. Your assets are SAFU!”

SAFU (Secure Asset Fund for Users) atau Dana Keamanan Aset untuk Pengguna adalah istilah yang erat di industri aset digital kripto dimana banyak platform, termasuk Indodax, memberi garansi keselamatan aset dari serangan peretas atau insiden keamanan lainnya.

Dalam rilis media pada 14 September, Indodax menambahkan bahwa deposit IDR melalui Virtual Account BRI belum tersedia. Khusus metode deposit IDR lain sudah dapat digunakan.

“Dalam beberapa waktu ke depan, kami akan kembali membuka fitur staking.  Kami mohon kesediannya untuk menunggu hingga informasi lanjutan.”

Bagi trader Indodax bisa juga mendapatkan informasi lebih lanjut dengan datang ke kantor perusahaan di Pondok Indah, Jakarta atau Sunset Road, Kuta, Badung, Bali. Member Indodax datang membawa kartu identitas dan tidak dapat diwakilkan.

Celah Keamanan Indodax

Sesaat kabar dugaan peretasan dengan potensi kerugian ratusan miliar rupiah, regulator hingga asosiasi memberi respons. Badan Pengawas Perdagangan Berjangka Komoditi (Bappebti) menyatakan bahwa telah memanggil pihak Indodax untuk meminta klarifikasi terkait kasus tersebut.

Menurut Kepala Bappebti Kasan saat ini Indodax, salah satu salah satu Calon Pedagang Fisik Aset Kripto (CPFAK) yang terdaftar. Menteri Kominfo Budi Arie juga menyampaikan bahwa keamanan data center di Indonesia masih jadi isu. Bahkan hal ini juga terjadi di negara tetangga, Singapura.

“Kerawanan atau keamanan, dan ketahanan siber kita ini kan juga jadi salah satu isu [baru]. Singapura [juga] baru kebakaran juga ya data centernya,” kata Budi di Kantor Kominfo kepada wartawan, Rabu (11/9/2024).

Sistem yang saling terkoneksi membuat upaya kejahatan dunia siber tidak pernah berhenti. Direktur Eksekutif ICT Institute Heru Sutadi mengatakan kasus dugaan peretasan Indodax merupakan cerminan dari sistem pertahanan siber di Indonesia masih lemah.

Pakar Siber Pratama Persadha menambahkan bahwa dugaan peretasan akibat adanya celah keamanan diperkuat oleh temuan Slowmist, salah satu perusahaan data keamanan blockchain, bahwa  ini terjadi bukan pada akun nasabah atau wallet pribadi.

“Namun peretas menjadikan signature engine atau mesin tanda tangan sebagai sasaran mereka, dimana kemungkinan peretas berhasil mengambil alih signature engine tersebut dan bisa membuat seolah olah peretas adalah pemilik wallet yang sah,” jelas Ketua Communication & Information System Security Research Center (CISSReC) saat berbincang dengan Bloomberg Technoz.

Selain menyasar mesin tanda tangan di platform tersebut, lanjut Pratama, peretas diduga memalsukan tanda tangan kriptografi agar dapat terlihat sah, sehingga peretas dapat memperoleh kuasa penuh dalam melakukan transaksi tanpa harus mengakses private key dari hot wallet.

Rugi Lebih dari US$22 juta

Sebuah analisis dari LookonChain menyatakan bahwa potensi kerugian Indodax mencapai lebih dari US$22 juta dengan mengambil data dari DEX dan membuat daftar data berharga. LookonChain  mendeteksi dugaan peretasan pada pukul 3 pagi, hari Rabu (11/9/2024).

Rabu pagi memang terindikasi waktu terjadinya kejahatan peretasan di platform kripto asal Indonesia itu, dimana koin yang terdampak diantaranya; 6,14 juta USDT, 1.047 ETH (senilai US$2,48 juta), 25 BTC (senilai US$1,4juta), 2,2 juta MATIC (senilai US$849 ribu), 1,4 juta ARB (senilai US$749 ribu), 2 juta ENA (senilai US$465 ribu).

LookonChain menambahkan hacker kemudian menyamarkan pergerakan peretasan dengan mengkonversi sebagian besar aset yang berhasil mereka dapatkan, dengan rincian sebagai berikut; 5.584 ETH (senilai US$13 juta), 16,7 juta TRX (senilai US$2,56 juta), 6,8 juta POL (senilai US$2,55 juta), dan 25 BTC (senilai US$1,41 juta).

CEO Oscar Darmawan dalam unggahan video secara berkala memastikan “saldo member 100% aman.” Indodaz juga menyatakan memiliki cadangan aset kripto Bitcoin, Ethereum, dan altcoin lainnya. Indodax merinci pencadangan aset kripto:

• 4.806,34 Bitcoin (nilai saat ini Rp4,28 triliun)
• 36.915,47 Ethereum (nilai saat ini Rp1,33 triliun)
• Kumpulan aset kripto lain-lain (nilai saat ini Rp5,9 triliun)

Total pencadangan Indodax nilai Rp11,5 trilun.

Lazarus dan Upaya Peretasan Koin Bernilai Ratusan Miliar

Lazarus grup peretas asal Korea Utara menjadi yang paling berpeluang bertanggung jawab. Menurut Yosi Hammer, Head of AI, Cyvers  menyatakan bahwa pola dan karakteristik dari Indodax sangat mirip dengan serangan Lazarus, dikabarkan BSCNNews, dikutip, Kamis (12/9/2024).

Sebelum meretas Indodax, Lazarus pernah diberitakan meretas penyedia pembayaran kripto tebesar dunia CoinsPaid, yang dilaporkan pada Juli lalu. Nilai dana yang terkait peretasan mencapai US$37 juta, seperti dikutip dari Bloomberg News.

Bursa Komoditi Nusantara atau Commodity Future Exchange (CFX)teregulasi juga memberi perhatian dan menyatakan insiden yang dialami Indodax telah memicu kekhawatiran atas jaminan keamanan siber dari para pengguna. Bahkan Indodax belum terdaftar sebagai anggota CFX.

Baru terdapat tiga platform perdagangan kripto Indonesia yang masuk Bursa CFX karena telah memenuhi segala persyaratan. Sementara Indodax, jelas Direktur Utama CFX Subani, belum memenuhi persyaratan keanggotaan. CFX siap membantu Indodax agar dapat memenuhi standar keamanan yang ditetapkan oleh Bappebti.

“Insiden ini mengingatkan kita semua bahwa kewaspadaan yang dalam mengelola risiko keamanan siber sangatlah penting,” papar dia. Menurut CFX penting untuk selalu taat dalam penerapan standar keamanan ketat demi melindungi nasabah dan menjaga integritas ekosistem aset kripto.

(wep)