Topic: Pancake Swap dihack, Jangan berikan Private Key Anda !! (Read 270 times)

ini kasus udah selesai, ga perlu dibump dengan post menyayangkan. kalau mau cerita masalh hacking ada di thread sebelah. silakan dipost di sana.

Sangat menyesalkan kepinteren mereka para hacker digunakan untuk mencuri aset orang lain..
Dulu saya pernah menjadi korban,,terlalu semangat dengan proyek yang pernah saya ikuti,dan secara tidak sadar saya mengikuti alur nya,,langsung privatekey saya berikan,tanpa wktu yang lama koin yang saya miliki termasuk eth hilang dengan meninggalkan transaksi yang menyatakan koin anda di ambil orang tersebut..

Emang bener-bener harus hati-hati, bukan hanya pancakeswap, hotbit juga sempat dihack oleh hacker waktu itu, bahkan walaupun sudah recovery, sekarang pun masih belum bisa melakukan deposit maupun withdraw, walaupun sekarang untuk trading udah bisa. Teruntuk teman-teman semua harap berhati-hati apabila ada email masuk yang meminta private key, jangan sampai kita jadi korban hacker.

Dari semuaa yang agan @Ljunior katakan sepertinya related banget dengan apa yg saya alami dulu ketika masih awam dengan yang namanya MEDIA SOSIAL karena disana saya benar-benar mengekspresikan diri saya bahkan hingga ranah privasi saya buka disitu. Ketika saya sadar bahwa ada resiko penyalahgunaan data saya mulai menghide semua info akun dari publik seperti no telepon karena saya pernah mendapati teror sms dari orang yg gak dikenal yg mengaku mendapat info dari Facebook. Nah terutama yang berkaitan dengan foto diri dan tanggal lahir karena sagat rawan untuk akses data diri. Mudah-mudahan banyak orang yg segera sadar akan privasinya masing-masing dan mulai membenahi diri dengan informasi dari trit agan @Ljunior

  Sama2 Om

Seru juga ni sharing tentang SE (Social Engineering), terusin yang ini:


Official Pancake mengeluarkan statment kemungkinan jalan masuknya dari CS Godaddy berdasarkan Analisis dari krebsonsecurity

https://krebsonsecurity.com/2020/11/godaddy-employees-used-in-attacks-on-multiple-cryptocurrency-services/

Padahal seharusnya GoDaddy sudah Aware karena sebelumnya sudah terjadi percobaan yg serupa pada liquid.com, Nicehash, escrow.com.

Teknik SE nya seperti in (berdasarkan Analisa krebsonsecurity):

Ternyata teknik yang digunakan sebelum choice A adalah:


Keren

1. Voice phising (Vishing) atau by phone,  phishers 'mengaku' sebagai pegawai dari Dept.IT terhadap sesama pegawai Godaddy(kemungkinan beda Dept) untuk menangani trouble tentang Email Perusahaan(GoDaddy) dan VPN (Pegawai yang memiliki akses) .

2. Disini Skill phisher (SE) berperan penting untuk meyakinkan calon korban(pegawai) supaya 'yakin' bahwa yang menghubunginya dari pihak Official yang kemudian 'apa' yang diminta phisher diberikan (What you get, What you see) diantaranya Credentials VPN dll.

wait....wait....ada step SE yang terlewatkan,

Pertanyaannya dari mana phisher tahu No.Telepon/calon korban itu Pegawai GoDaddy?

Phisher memanfaatkan Log chat(kemungkinan sy) CS bisa berpura2 sebagai client atau seseorang yang ingin komunikasi dengan tujuan hanya untuk Mendapatkan Nama nya, atau hal2 yang menyangkut pribadinya (CS)

Investigasi selanjutnya adalah Background check berdasarkan ex: Nama, atau hal lainnya...

Asumsikan hanya sebuah 'Nama'  yang didapat.

Lalu untuk mendapatkan Informasi yang lebih banyak bahkan detail harus dimulai dari mana?

jawabannya dari Google biasanya background check ini dilakukan pada platform SOCIAL MEDIA (FB, TWITTER, INSTAGRAM, LINKEDIN) dll untuk menggali Informasi yang lebih detail. Informasi yang detail presentase keberhasilan untuk mengekploitasi korban lebih besar sebelum menjalan SE.

Ini diantara informasi yang sangat Relevan:
1. Nama (Lastname, Middle Name, FirstName)
2. DOB (Date of Birth)
3. Hoby
4. Place at work
5. CV
6. Phone
7. Related Friend
8. Picture

Barulah semua itu mulai di Eksekusi.

Point nya:

1. Sy dari dulu sangat Vocal teriak2 KYC, jangan hanya sekedar Airdrop data pribadi di share begitu saja. Meskipun KYC di Indo kurang berguna, tidak seperti SSN powerfull untuk digunakan apapun (USA)

2. Jangan Lebay di SOSMED (Apalagi posting2 gambar Anak atau Show off tempat nongkrong, show off hal2 yang beresiko)

3. Jika punya SOSMED gunakan PRIVATE, tidak usah banyak teman (OL) tapi ngk kenal di Real.

4. JANGAN MUDAH PERCAYA SIAPAPUN di Online.

Sy bukan menakuti agan2, betapa Powerfullnya SOSMED untuk Background check TAPI agar agan2 lebih bijak menggunakan SOSMED. PRIVACY bagi saya itu Mahal.

sebenarnya sy senang sharing ilmu /mengedukasi agan2 tentang SE, tapi disini bukan tempat yang tepat 


Mendapatkan ilmu seperti ini tidak ada Universitasnya dan untuk mendapatkan Mentornya itu sangat sulit karena almost all mereka Introvert dlm berbagai hal dan butuh waktu yang lama untuk membangun Trust mereka terhadap calon muridnya. Terutama Mulut harus dikunci untuk tidak membocorkan Identitasnya (Name, Face, Location).

Alhamdullilah sampai sekarang pun masih komunikasi, terakhir lewat Telegram (dan Tele harus selalu di set Self Destructed), terakhir tentang Vuln PrivKey yang di BF pake Kali, dia mengirimkan SS nya.

Pesan Pentingnya : Jangan gunakan Pass untuk masuk cold/hot wallet yang Standard.

---

  Mohon maaf jika dia baca ini (saya hanya sekedar sharing dan agar Saudara2 kita (members BCT) lebih berhati-hati.   Peace Man 

 

^Waduh makasih om sudah mengingatkan, ane juga luput masalah ini. Password portal hosting ane lupa ane ganti dengan yang stronk, padahal di cpanel dll sudah pakai very stronk + 2FA. Maklumlah buka portal kalau mau bayar-bayar tagihan doang, akunnya juga udah tuwir sekali.

Serem juga euy kalo portal berhasil dimasuki orang yang berniat jahat, dnsnya bisa diganti-ganti, dll.

Kalau sy baca di DNS Incident Recap sementara hasil investigasi Team mereka menyatakan pintu utama masuk nya di Customer service GoDaddy yang kena Social Enginering  ,  mengingatkan saya pada film Who am I bahwa ketika suatu 'sistem' sulit di exploitasi maka exploitasilah 'operator sistem' nya.

Kalau sy Skema kan (hanya imaginasi sy) dari sudut Social Engineering berdasarkan Recap tersebut:

1. Step 1st
A hacker memiliki alamat email(owner/pegawai/org yang memiliki access) untuk masuk ke Acct GoDaddy
    . hacker memiliki SSN/DL untuk mereset password/username (GoDaddy).

B. hacker hanya memiliki alamat email kemudian by phone ke Customer Service nya (exploitasinya by phone)

Kalau menurut sy, Kemungkinan choice A karena Reset Acct GoDaddy pasti notifnya ke Email, bisa dipastikan email yg memiliki hak akses ke GoDaddy sebelumya sudah diretas.

Kalau choice B terlalu berat, karena sama kalau by phone di verifikasinya data sensitive(ex: SSN/DL)

barulah step selanjut nya....bla...bla...
    .
 

Dari cerita yang ane baca" sih web" yang kena serangan kemaren diregistrasi/dikelola lewat GoDaddy. Entah apa alasannya kenapa make jasa tersebut, padahal imagenya juga ga terlalu bagus. Mungkin karena murah dibandingkan Cloudflare dan sejenisnya. Tapi udah pada migrasi ke penyedia lainnya terakhir ane liat.

Bisa jadi pelajaran juga buat yang mau bikin website atau mau cek web proyek tertentu.

Mestinya sekelas exchange dan wallet harus mengimplementasikan DNSSEC (Domain Name System Security Extension). Hacker sudah semakin canggih, sudah tidak mempan pakai website phishing yang sudah banyak diungkap, saya juga rutin bumping thread saya untuk ungkap website phishing tersebut karena ini adalah masalah utama pengguna crypto.

Kalau ada yang belum tahu bagaimana DNS Hijacking/Spoofing, saya akan menjelaskan sedikit .

Ini adalah gambar pancakeswap.finance yang terkena DNS Spoofing

Gambar diambil dari twitter.

DNS (Domain Name Server) adalah server yang berfungsi menerjemahkan alamat domain menjadi Alamat IP.

Singkatnya, apabila hacker menghijack DNS maka Hacker mengubah alamat domain menjadi alamat IP mereka. Sebagai contoh: website bitcointalk pakai IP address 104.20.209.69, tapi terkena DNS Spoofing sehingga berubah menjadi 185.212.130.65. sudah tentu jika masuk, hacker akan mengambil username dan password anda.

Ini adalah IP address asli dari pancakeswap;


Kalau terkena hack, IP Address akan berubah, misalkan menjadi;


Sudah tentu IP address 192.155.84.221 ini adalah palsu milik hacker dan bila diklik akan sama seperti pancakeswap.finance dimana IP aslinya 172.67.75.76. dan akan mengambil seed dan privatekey JIKA kalian isi seed di gambar atas, jika tidak diisi? aman. namun diclear dulu chache dan cookie browser, bila perlu reinstall browser.

So, back to top, jika website mengimplementasikan DNSSEC (Domain Name System Security Extension) akan ada kode tertentu jika kita akan mengakses website yang telah memakai DNSSEC untuk menandakan kalau website tersebut asli bukan dari hacker. kode ini akan mengamankan user dari mangakses domain palsu.

https://kb.qwords.com/category/help-manual/meningkatkan-keamanan-domain-dengan-fitur-dnssec/

Untuk pop-upnya sudah tidak ada mas, saat saya melihat warning tersebut di PC, saya sudah bisa transaksi via trustwallet dengan aman. Saya juga membaca info penanganan masalah dns sudah selesai, jadi saya berani bypass. Hari ini tim memberi imbauan jika user tetap mendapatkan warning, untuk melakukan clear cache.

https://twitter.com/PancakeSwap/status/1372034868775854085?s=19

Apa masih ada pop-up buat minta seednya? Bisa aja hackernya tetap mengirim request trade dkk ke server milik Pancake sementara situsnya jadi UI. Ane sih bakal tetap nunggu sampai masalahnya selesai daripada nanti malah kena masalah lain seperti misalnya approve sesuatu yang ga jelas ketika trade yang bisa membuat balance agan didrain.

Untuk hari ini, jika kita buka pancake di desktop, kita akan mendapatkan phishing warning dari metamask. Cuma, ini bukan berarti tidak bisa digunakan, kalian bisa bypass warning pancake. Jika kalian takut, Anda harus menunggu sampai benar-benar aman. Tapi, sejauh ini saya melakukan transaksi tidak ada kendala.

Tapi itu beneran terjadi om, anak - anak dari PBI yang masih newbie pada kenak semua, karena memang sistemnya mereka dikasih token TRC-20 yang harganya jika diswap sangat mahal.

Inilah mengapa saya selalu mengingatkan kepada newbie di komunitas saya agar selalu bertanya, jangan asal main gas aja. Semoga aja kedepannya makin banyak orang yang teredukasi.

Lebh tepatnya hacker melakukan redirection ke website yang dia buat lewat DNS hijacking. Kalau pihak Pancake mau disalahkan, mungkin di bagian memilih penyedia layanan DNS yang lemah sehingga hacker bisa melakukan MITM atau mengambil alih redirection dari IP yang bersangkutan ke webnya sendiri.

Ane agak ragu dengan kronologi seperti ini. Hampir semua dApps yang ane tahu butuh konfirmasi untuk sign transaksi. Kemungkinan sih usernya meng-expose seednya ketika buka Trust Wallet (ga ada yang bisa verifikasi karena kodenya juga tertutup), terus dia kontrol lewat wallet lain. Eniwei, seperti yang dibilang di atas, Pancakeswap bekerja seperti Uni. Butuh konek wallet untuk sign transaksi, tapi ga perlu expose private key/seed.

Normalnya seperti uniswap dan desentralisasi exchange lainnya kalau mau konek wallet pasti tidak menyuruh user menulis seed dan privkey. Kalau terjadi, sudah pasti phishing, untuk melihat web phishing lain yang sejenis (menyuruh user menulis seed dan private key) bisa ke sini

Sama juga om, saya juga kurang familiar namun beberapa waktu lalu ada beberapa kasus tentang DApps swap - swapan ini yakni DApps swap berbasis TRC-20.

Kronologi:
1. Korban Connect Wallet (Trust Wallet)
2. Kemudian Saldo TRX Korban Hilang...

Namun saya tidak tahu apakah kasus Pancake Swap di jaringan BSC ini hanya perlu Connect Wallet atau Tidak.

Jika Jawabannya: Hanya Perlu Connect Wallet, Maka ini menjadi suatu hal yang berbahaya di dunia DeFi, kenapa begitu... karena selama yang saya pantau model connect wallet ini hanya ada di ranah DeFi.

Saya pribadi kurang begitu familiar dengan DeFi Exchange. Sedikit penasaran, jika website tersebut dalam keadaan normal, apakah aktifitas semisal mesti input seed phrase/private key ada juga? Kalau misalkan tidak, maka mau itu website kena hijacked atau tidak jika tiba-tiba meminta input seed phrase/private key berarti harus dicurigai.

Baru-baru ini publik dikejutkan dengan kabar buruk yaitu website pancake swap mengalami serangan hacker. Dilansir dari laman https://decrypt.co/61431/pancakeswap-hacked?amp=1 disebutkan bahwa hacker menggunakan teknik DNS hijacking untuk menjalankan aksinya. Untuk itu disarankan untuk tidak memberikan private key Anda ke dalam website tersebut karena Hacker menargetkan DNS web tersebut untuk meminta kunci peribadi pengguna dan seed pharse. Sementara itu dilansir dari laman twitter PancakeSwap dikatakan bahwa aset kita tetap bakalan aman selagi kita tetap menjaga kunci pribadi milik kita sendiri.
"Your funds are only at risk if you enter your private key or seed phrase into the hijacked site" ungkap Official PancakeSwap. Mungkin trit ini bisa menjadi poin tambahan pada trit sebelumnya yaitu Kesalahan Umum Yang Dapat Menghilangkan Crypto Yang Anda Miliki
"https://bitcointalksearch.org/topic/--5290282" bahwa poinnya adalah kesalahan ini tidaklah menargetkan kalangan awan, melainkan orang-orang yg lengah dan lalai. So mari kita menunggu sejenak sembari menunggu update news terbaru dari PancakeSwap agar semua dapat kembali normal seperti sedia kala. Semoga trit ini bermanfaat

https://twitter.com/PancakeSwap/status/1371478180641521667?s=19