Topic: Hati - Hati Simpan assest di market (Read 481 times)

Karena agan Syamhusky memention saya, maka saya coba jelaskan ke beliau terkait juga dengan pendapatnya yang ini:

Penyerangan yang dilakukan melalui API trading menggunakan Bot dengan menjual aset tentu lebih mudah dan bisa 'sedikit' meyulitkan pelacakan/menghilangkan jejak pelaku (sebagaimana mas ulum sebutkan) jika dibandingkan dengan kemungkinan yang disebutkan agan Syamhusky diatas yang tentunya akan memerlukan akses OTP (One Time Password) lebih lanjut.

---

Sedikit menanggapi, penjualan aset jika buy ordernya dapet, tentu akan merasa dapat menghilangkan jejak pelaku peretasan tersebut, padahal nantinya menurut saya sih masih dapat dilacak oleh pihak indodax melalui txhash jual beli yang tersimpan pada blockchain. Sedangkan untuk melakukan WD harus mendapatkan email konfirmasi yang mana bisa saja si peretas tidak memiliki akses pada akun email dan permintaan OTP. Sedangkan melakukan aktivitas jual beli sudah mas sebutkan tidak membutuhkan akses OTP, jadi satu-satunya cara ya dengan melakukan aktivitas jual dan beli tersebut untuk menguras isi aset pada akun korban.

Tapi, kalau kasusnya ini merupakan hasil trading karena penggunaan bot yang bisa saja bot ini di remote oleh pembuat untuk melakukan aktivitas jual-beli, saya rasa ya korban tidak memiliki kekuatan untuk mendapatkan asetnya kembali. Karena masalah ini merupakan murni kesalahan korban bukan karena bug ataupun peretasan. Yang menurut saya sih korban sudah menjadi korban penipuan creator bot tersebut. Umumnya bot tidak bisa melakukan trading sendiri kalau kita tidak mengatur nominal jual dan beli, tapi kalau developer bot curang, hal ini bisa terjadi karena bot di remote oleh pengembang dan melakukan sell/buy order melalui back end. (CMIIW)

---

BTW, kasus ini juga sudah mendapatkan respon langsung dari Oscar Darmawan (archive), semoga yang merasa kehilangan segera membuat pembaruan atas status kasus ini nantinya.

Begini gan, dari yang saya pahami, ketika penyerangan dilakukan melalui API trading dengan menggunakan Bot trading si peretas sudah menyiapkan untuk langsung buy pada koin yang dijual murah tersebut (dibawah batas wajar harga pasar) tentunya untuk di jual dengan harga diatas itu.
Dan seingat saya proses jual ini tidak memerlukan konfirmasi 2fa.

Sementara kalau si peretas sudah memiliki akses pada akun (password ID dan lainnya) sebagaimana yang agan nyatakan sebelumnya, pertanyaannya mengapa juga harus repot-repot jual dengan harga murah seperti itu, udah aja transfer langsung koinnya ke wallet peretas karena kan dia punya kendali penuh pada akun tersebut.

not your key, not your coin = ingat moto ini !!!!
semua coin yang agan punya jika masih berada di exchange berarti bukan coin agan.

.
hati hati kalau pakai api


palagi si op bounty hunter , kemungkinan register bounty pake email exchange..
dan email itu menyimpang login API yang bisa login 1x klik login melalui gmail misalnya kayak tab trader sekarang

Makin lama kok makin aneh, udah liat di link postingan kasusnya belom. si-korban udah ngasih informasi bahwa HP, Smatphone atau apalah itu yang ada akses 2FA nya semua ada di dia gak di pinjemin sama sekali.

Baik jadi gini ada permasalahan katanya 2FA aktif tapi masih bisa akses akun si-korban, beberapa spekulasi dari permasalahan si-korban yang mungkin masih akal dikarenakan kasus ini, yaitu:

• API  Trade
• Password Trade sama dengan Password lainnya

Berhubung track record, si-korban "Airdrop & Bounty Hunter" yang memang register multiple website bisa saja dia melakukan register dengan data yang sama. BTW bisa gak sih login tanpa 2FA? Jawabannya bisa, coba kalian checks APPS "Dompet Bitcoin" kebetulan tadi ane juga coba tested di APPS tersebut bisa melakukan login tanpa 2FA sama sekali hanya memerlukan password hanya saja nanti akan membuat PINS transaksi dan segala transaksi yang ada akan dilakukan dengan PIN + Konfirmasi Code Via SMS. Berhubung si-korban bilang transaksi yang dijual dengan harga murah ada beberapa altcoin seperti QTUM salah satunya, ane rasa bukan lewat "Dompet Bitcoin" dikarenakan di APPS tersebut hanya bisa transaksi Beli/Jual Bitcoin saja.

Jadi yang masih masuk akal yaitu API Trade.

Seharusnya menggunakan 2fa sudah cukup aman & semuanya kembali pada sang pemilik akunnya sendiri. Kalau cuma email yang dijebol bisa ketahuan dari login notice, kecuali anda sendiri tidak pernah cek emal. Saya kok lebih condong ini kesalahan yang punya akun daripada kena hack dan saya curiga yang melakukan adalah orang terdekat anda ( mungkin ) yang ndak kebagian give away dari sampean, akhirnya hp dicolong aset dijual murah biar kapok.

Kelebihan ngetik aku pak, yang pengalaman kena money laundry itu ke grup FJB harusnya aku ketik bukan disini  
wes tak edit

Money laundry kayak gimana ini maksudnya? Ada yang jual barang dengan harga miring banget dan agan ketipu sama barangnya apa gimana?

IMO realitas yang dibandingkan kok kayaknya ga serupa. Kasus jual harga murah di bidang token/coin itu ane bisa 'mewajari', karena siapa tahu strategi peretasnya adalah mengumpulkan koin/token dengan membeli dibawah harga pasar untuk lalu dijual kembali sesuai harga pasar. Walaupun agak ribet tapi tracenya bisa lebih sulit dilacak.

Lho, kalo bisa di jual murah tapi langsung kejual kenapa harus jual sesuai harga pasar dan ngambil resiko ?

Coba pahami kalimat OP berikut:

Logikanya kalau ada yang tau ID + Password atau bahkan bisa akses 2fa, mengapa juga aset korban bukannya dijual dengan harga tinggi malah dijual murah atau sekalian saja semua aset korban ditransfer ke wallet pencuri tersebut?

Penggunaan aplikasi pihak ke-3 ini yang mesti hati-hati, terlebih jika sudah diberikan izin akses untuk trading/withdraw pada pengaturan API sebagaimana saya kutip diatas.

Saya kira lama transaksinya masih dalam kategori wajar, biasanya hitungan jam dan tidak sampai seharian. Kalau ketika itu harga koin yang agan simpan sedang naik, saya kira masih akan cukup waktu untuk mengirim+menjualnya. Sepengetahuan saya moment naiknya harga itu tidak berakhir dalam hitungan menit, paling tidak hitungan jam. Lagipula, kalau saya jauh lebih penting kemanan koinnnya, daripada mengutamakan jual di rate tertinggi ketika naik harganya. 

Apakah gak ada temannya korban yang tau ID + Password indodax dia ? masa iya to gan tiba tiba ilang, kan kalo beda IP suka minta confirm email '-'
kalo ada yang temannya yang tau yaa itu kemungkinan dari temannya korban. Bukannya suudzon tapi yaa kemungkinan paling gede yaa itu menurut saya.

Mungkin berdebat untuk menyalahkan Indodax juga tidak akan bisa menyelesaikan masalah hilangnya aset tersebut, begitu pula terlalu medukung yang merasa dirinya korban pun juga tidak akan menyelesaikan masalah. Tapi, ada pelajaran penting yang bisa kita ambil dari sini yaitu berhati-hati dalam menggunakan API dan hindari menyimpan aset pada exchange terlalu lama serta pastikan aktivitas browsing yang kita lakukan.

1. Semua trader wajib memahami bagaimana kinerja API sebelum memutuskan untuk menggunakan layanan tersebut pada third party. Mungkin, thread ini dapat mengingatkan kita kembali "[EDUKASI] Definisi, Fungsi, Manfaat & Bahaya Penggunaan API Bagi Trader"
2. Ada hal-hal yang harus dipahami kembali dalam menggunakan exchange, tips dari @tbtc_mt2 ini mungkin akan bermanfaat Perhatikan Ini Sebelum Menggunakan Exchange atau Investasi
3. Periksa kembali keamanan komputer Anda
4. Periksa kembali URL yang kita kunjungi, kali aja kita salah dan diarahkan pada phishing.
5. Segera laporkan, jangan update status terus komen-komenan dulu, setelah dua jam selanjutnya melakukan pelaporan, ini akan lebih mempersulit proses pengecekan. Ada yang salah pada akun, silakan segera laporkan dan jangan menunda-nunda.

---

Nasi sudah jadi bubur, ketika seseorang sudah kehilangan aset pada exchange karena aktivitas trade dan itu bukan karena bug melainkan ada riwayat penggunaan API yang mengizinkan melakukan trade, maka tidak heran jika pada akhirnya pihak exchange tidak bertanggung jawab akan hal tersebut. Pasalnya, jika pada sistem normal dan tidak ada yang kehilangan aset selain satu orang tersebut, maka besar kemungkinan satu user tersebutlah yang melakukan kesalahan sebelumnya. Jika memang itu berpotensi bug, coba hubungi Indodax, mediasi akan lebih baik untuk menghasilkan solusi daripada hanya bikin status di sosmed yang tidak akan membuahkan hasil.

Sebenarnya jawaban suhu suhu di atas sudah cukup jelas, dan ane sekedar menambahkan gan ..  

Sebelumnya sudah ada topik terkait seperti kejadian OP katakan. kronologinya ada kemiripan dan ada masalah lain juga, silahkan cek => Indodax jebol atau Human Error ?            
salah satunya cara yaitu menghubungi pusat bantuan di web / email resmi indodax, atau datang langsung pada kantor indodax juga bisa. contoh format laporan, cek thread lengkap=> [SOLUSI] Indodax Kebobolan !!!.

Asumsi atau pendapat ane sebernya lebih setuju yang disebutkan oleh AakZaki :

---

Selain Trade API tembus, OTP juga bisa kebobolan dan melakukan dumping, bahkan jika sudah hak kendali sepenuhnya sudah ada di tangan peretas, bisa ludes semua aset yang dimiliki.

2Fa tidak menjamin. Kok bisa ?  ada kejadian baru akhir akhir ini, OTP yang di sediakan oleh provider (*) tidak sepenuhnya terjamin aman, meskipun kode OTP yang agan terima sangat di rahasiakan oleh agan. gmail pake 2fa ? indodax juga 2fa ? Ezt, tunggu dulu. provaider sim card juga bisa kebobolan seperti kejadian ini, Sim card di bobol (ini khusus OTP yang menggunakan provaider sim card, kalo pake google authenticator beda lagi gan). iya sebagai jaga-jaga, mulai saat ini beralih pada provaider yang lebih terpercaya aja gan.

orang ini kayaknya pernah pake trading bot, terus api yang dibuat untuk trading bot belum di hapus ama orangnya, makanya ada yang bisa acces akunya pake api, tapi asset nya cuman bisa dibuat trade dan gabisa withdrawls, btw ane kenal ama orang yang difoto, sama" bounty hunter di telegram, nanti saya coba tanya ke dia gimana ceritanya assetnya bisa ilang.

kali aja saya bisa ngasi solusi buat ngamanin akunya  

Iya lebih aman simpan di wallet pribadi, namun ada kendalanya saat - saat koin harganya naik kita harus mengirim ke wallet terlebih dahulu apalagi market Indodax yang konfirmasi setiap transaksi terbilang cukup lama.

2fa ataupun IP hanya atribut untuk pengamanan agar menjadi lebih ketat (sulit ditembus hacker). Tapi selama itu masih dalam dunia digital, "sulit ditembus" bukan berrarti tidak ada celah untuk dibobol security nya. Apalagi sudah ada kasus kalau 2fa ternyata sudah tidak mempan terhadap hacker sebelumnya. Hacker itu sama seperti kita, mereka juga terus belajar dan melakukan analisa untuk mencari target potensial.

Solusinya tetap untuk menyimpan aset digital kita di wallet pribadi (bukan wallet exchanger), hanya transfer aset kita ke wallet exchanger ketika ingin trading saja. Untuk ke pihak exchanger, kalau sudah ada kasus seperti ini, coba mintak ditindak lanjuti sistem keamanannya.

Komentar2 sesepuh sebelumnya sudah cukup mewakili, hanya menambahkan.
Sekedar menambahkan terkait konfirmasi email karena IP baru/berbeda, itu tidak selamanya kita terima, pernah sekali waktu saya login di device yang berbeda (dengan ISP berbeda pula) dan tidak menerima konfirmasi IP baru/berbeda.

Terkait 2FA, sudah banyak dibahas bahwa 2FA masih bisa ditembus.

Beberapa Rujukan:
1. Kasus Hack Binance yang BTC7000
2. Re: [TANYA]Apakah Mengaktifkan 2FA Jaminan Tidak Kena Hack [Disertai Info Grafis dari @masulum]

Ada kemungkinan API Trade ditembus, sempat baca kasus serupa yang dimuat di salah satu media:

Kasus hampir mirip di Binance:
https://www.reddit.com/r/BinanceExchange/comments/82ou1d/binance_sold_all_my_alt_coins_at_market_rate/

---

Berkaca dari itu lebih baik berhati-hati ketika mengaktifkan API, sebagaimana dikutip @AakZaki
https://bitcointalksearch.org/topic/m.53745950

Murni kesalah dimana? dulu juga pernah terjadi seperti ini lihat tidak ada altcoin di indodax yang dijual dengan harga 1 IDR, apa mungkin ada orang yang mau menjual koinnya dengan harga sangat murah, kalau emang human error dari website yang bersangkutan kenapa harus dibalain, harusnya diberikan support biar bugnya gk dibiarkan berlarut2.