Industri blockchain telah lebih dari satu dekade memposisikan dirinya sebagai fondasi kepercayaan digital — terdesentralisasi, transparan, dan tidak dapat diubah. Namun ketidakberubahan yang sama itu dapat berubah menjadi senjata ketika dimanfaatkan oleh aktor ancaman.
Baru-baru ini, Mandiant Threat Defense dan Google Threat Intelligence mengungkap kampanye oleh UNC5142, sebuah grup ancaman yang menggunakan smart contract BNB Smart Chain untuk meng-host dan mendistribusikan malware. Vektor serangan baru ini, dijuluki “EtherHiding”, menandai pergeseran signifikan dalam cara aktor jahat mengeksploitasi infrastruktur terdesentralisasi.
Bagaimana Serangannya Bekerja
Kampanye ini terjadi dalam beberapa tahap:
- Kompromi Awal: Penyerang membobol situs WordPress yang rentan.
- Penyampaian Payload: Skrip yang disuntikkan terhubung ke kontrak berbahaya di BNB Smart Chain.
- Eksekusi: Kontrak ini mengirimkan malware (biasanya pencuri informasi) langsung dari blockchain ke sistem korban.
Karena payload disimpan on-chain, ia tidak dapat diubah — Anda tidak bisa begitu saja “menurunkan” smart contract seperti menurunkan domain atau server berbahaya. Setelah dideploy, ia tetap ada secara permanen.
Mengapa Ini Berhasil
1. Biaya Masuk Rendah
Deploy smart contract di BNB Smart Chain dapat memakan biaya kurang dari $0.25, membuat penyerang sangat mudah melakukan distribusi dalam skala besar.
2. Desentralisasi sebagai Perisai
Jaringan terdesentralisasi menawarkan ketahanan dan kebal sensor — sifat yang sama membuat kode berbahaya hampir mustahil untuk dihapus.
3. Portabilitas Lintas-Chain
Konsep ini tidak terbatas pada BNB. Teknik yang sama dapat dengan mudah berpindah ke Ethereum, Polygon, atau Solana, di mana smart contract dan dApp sama-sama mudah diakses.
Implikasi bagi Industri
Ini lebih dari sekedar kampanye lain — ini adalah proof of concept yang menunjukkan bagaimana blockchain publik dapat berfungsi sebagai platform distribusi malware.
Ini memaksa kita untuk mengajukan pertanyaan penting:
- Bagaimana kita memonitor dan merespons aktivitas berbahaya di dalam jaringan terdesentralisasi?
- Haruskah blockchain explorer dan penyedia RPC mulai memindai pola kontrak mencurigakan?
- Bagaimana bursa, dompet, dan dApp memastikan frontend dan API mereka tidak secara tidak sadar berinteraksi dengan kontrak berbahaya?
Stack keamanan tradisional — firewall, blacklist domain, reputasi IP — tidak berlaku di sini. Data on-chain hidup selamanya, dan setelah malware dikodekan dalam smart contract, ia menjadi bagian dari ledger itu sendiri.
Jalan ke Depan
Ekosistem kripto perlu mulai memperlakukan blockchain sebagai bagian dari attack surface.
Itu berarti:
- Mengintegrasikan on-chain threat intelligence ke dalam pipeline SOC.
- Membangun heuristik untuk mengidentifikasi perilaku kontrak abnormal.
- Berkoordinasi dengan operator chain besar dan penyedia RPC untuk menandai deployment berbahaya.
Di bursa kami, kami sudah memperluas alat pemantauan internal untuk memasukkan deteksi anomali on-chain — memindai payload berbahaya dan interaksi yang terkait dengan ekosistem kami.
Garis antara “smart contract” dan “host malware” semakin kabur.
Pemikiran Akhir
Teknologi blockchain dibangun di atas gagasan infrastruktur tanpa kepercayaan, tetapi trustless bukan berarti tidak berbahaya.
Ketika batas antara keamanan siber dan sistem terdesentralisasi hilang, industri harus berkembang lebih cepat daripada para aktor ancaman.
Masa depan keamanan blockchain bukan hanya tentang melindungi aset — ini tentang mengamankan rantai itu sendiri.
