Pada tanggal 19 Oktober 2025 sekitar pukul 17:57 UTC, investor XRP Brandon LaRoque melaporkan transfer tidak sah lebih dari 1,2 juta XRP, senilai sekitar $3 juta, dari dompet perangkat keras Ellipal miliknya setelah mengimpor frasa benihnya ke aplikasi seluler Ellipal. Tindakan ini, yang mengakali keamanan perangkat yang tidak terhubung ke internet (air-gapped), secara efektif mengubah dompet tersebut menjadi dompet panas yang terhubung ke internet. Investor tersebut menemukan kehilangan itu saat mengakses aplikasi Ellipal pada tanggal 15 Oktober dan menentukan bahwa pencurian terjadi pada tanggal 12 Oktober, berdasarkan cap waktu on-chain dan catatan transaksi.
Sesuai dengan keterangan LaRoque, dua transfer uji kecil masing-masing 10 XRP dilakukan sekitar pukul 11:15 a.m. ET pada 12 Oktober, diikuti oleh transfer massal sebesar 1.209.990 XRP. Penyerang kemudian membagikan dana yang dicuri ke puluhan alamat perantara sebelum mengkorelasikannya di jaringan Tron. Dari sana, dana dialihkan ke venue perdagangan over-the-counter (OTC) yang bersebelahan dengan Huione, pasar yang berbasis di Asia Tenggara yang disebut dalam tindakan penegakan hukum AS baru-baru ini. Detektif blockchain ZackXBT mengidentifikasi gerakan ini dengan mengkorelasikan jumlah transaksi dan waktu dengan log video yang dipublikasikan investor serta pernyataan publik Ellipal yang dirilis pada 18 Oktober.
Ellipal menanggapi insiden tersebut pada 18 Oktober, menjelaskan bahwa mengimpor frasa benih dompet perangkat keras ke dalam aplikasi seluler menyimpan kunci pribadi pada perangkat, membatalkan perlindungan air-gap. Perusahaan menyatakan bahwa unit perangkat kerasnya tetap aman namun memperingatkan bahwa tindakan pengguna dapat membahayakan keamanan secara keseluruhan. LaRoque, pensiunan berusia 54 tahun dari North Carolina, mengatakan kerugian tersebut mewakili tabungan pensiun dirinya dan istrinya, menghapus rencana membeli rumah. Ia melaporkan insiden tersebut ke Pusat Pengaduan Kejahatan Internet FBI (IC3) dan aparat penegak hukum setempat, meskipun unit kejahatan siber khusus belum terlibat.
ZackXBT memperingatkan agar tidak menggunakan perusahaan pemulihan (recovery firms), dengan mencatat bahwa banyak yang beroperasi dengan model predator dengan biaya tinggi dan tingkat keberhasilan rendah. Ia menyarankan pelaporan segera ke bursa dan otoritas untuk meningkatkan peluang pembekuan token, tetapi mengakui peluang pulih sepenuhnya sangat rendah setelah dana melintasi rantai antar-rantai dan memasuki pasar OTC. Kasus ini menekankan pentingnya menjaga frasa benih yang berbeda untuk dompet dingin dan dompet panas, menggunakan frasa sandi tambahan untuk kepemilikan bernilai tinggi, dan menghindari impor frasa benih ke lingkungan online.
Komentar (0)