Project 0 berjanji mengembalikan dana setelah kompromi GitHub memicu serangan phishing pada pengguna DeFi

Dalam peringatan yang dibagikan oleh pendiri Project 0 (P0) MacBrennan Peet, eksekutif berkomitmen untuk mengembalikan dana sepenuhnya atas kerugian yang dikonfirmasi setelah penyerang menyusup ke sistemnya untuk mengalihkan kunjungan pengguna ke situs webnya ke situs pencuri kripto.

Postingan oleh MacBrennan mengonfirmasi bahwa setidaknya satu pengguna kehilangan $1.000 ketika mereka mencoba situs baru tersebut "karena penasaran."

Insiden keamanan yang menargetkan Project 0 menambah jumlah pencurian kripto yang memecahkan rekor oleh pelaku jahat yang mengeksploitasi peningkatan Fusaka yang seharusnya membuat biaya transaksi menjadi tidak penting bagi pengguna jaringan Ethereum, menambah pola serangan yang menargetkan tempat-tempat dengan likuiditas tinggi.

Project 0 melaporkan pembajakan domain DeFi terbaru

Menurut pengungkapan oleh MacBrennan, penyerang mendapatkan akses ke akun GitHub anggota tim aplikasi, yang memungkinkan mereka mengalihkan kunjungan pengguna antara pukul 21:45 dan 22:19. 

Meskipun dia tidak menentukan zona waktunya, pengguna yang mencoba mengunjungi situs web Project 0 dalam jendela serangan 40 menit diarahkan ke situs web lain yang menyebabkan kerugian setidaknya $1.000. 

Menurut data Defillama, Project 0, sebuah prime brokerage asli DeFi yang memungkinkan pengguna meminjam terhadap seluruh portofolio DeFi mereka di berbagai tempat, saat ini memegang hampir $90 juta dalam total value locked (TVL), mencapai puncak di atas $110 juta sejak pelacakan dimulai pada akhir 2025. Proyek ini juga mengklaim didukung oleh Multicoin, Pantera dan Solana Ventures. 

Tingkat aktivitas dan status tersebut, meskipun menarik bagi pengguna, juga merupakan sinyal bagi penyerang yang mencari target bernilai tinggi. 

Cryptopolitan melaporkan bahwa OpenEden dan BonkFun mengalami serangan serupa ketika penyerang mengkompromikan domain yang terdaftar pada proyek-proyek tersebut. 

Dalam kedua kasus, serangan tidak mempengaruhi vault proyek atau posisi pengguna, karena kerusakan dalam jenis serangan ini biasanya terbatas pada pengunjung situs web selama jendela eksploitasi, yang biasanya cepat dimitigasi oleh tim yang responsif. 

Meskipun jumlah pasti yang hilang masih belum dikonfirmasi, MacBrennan telah berkomitmen untuk memperluas bantuan pengembalian dana untuk kerugian pelanggan terverifikasi lainnya selama serangan. 

Pengguna Ethereum menjadi target serangan address poisoning

Ketika pengembang Ethereum mendorong peningkatan Fusaka pada Desember 2025, mereka mempromosikan peningkatan tersebut sebagai "final boss" dalam membuat transaksi mainnet terjangkau. 

Yang tidak mereka lihat adalah bahwa itu akan menjadi kepingan puzzle terakhir bagi penyerang yang memburu target bernilai tinggi dalam ekosistem Ethereum yang kaya likuiditas, yang memegang hampir $60 miliar di seluruh protokol DeFi dan lebih dari $160 miliar dalam kapitalisasi pasar stablecoin.  

Akun resmi Etherscan di X menyoroti ancaman yang berkembang dalam artikelnya "Address Poisoning Attacks Are Rising on Ethereum". Laporan tersebut mengutip studi 2025 yang membandingkan upaya poisoning sebelum dan sesudah peningkatan Fusaka untuk menyoroti proliferasi serangan ini sejak peningkatan Desember. 

Transfer debu, yang merupakan deposit kecil (di bawah $0,01) yang dimaksudkan untuk mengganti alamat dalam riwayat transaksi pengguna dengan dompet yang dikendalikan oleh penyerang, mengikuti tren karena aktivitas transaksi di mainnet Ethereum meningkat sekitar 30% secara keseluruhan dalam 90 hari setelah peningkatan Fusaka, dengan peningkatan 78% dalam pembuatan alamat baru. 

Tabel membandingkan tingkat serangan address poisoning sebelum dan sesudah peningkatan Fusaka. 

Ini adalah permainan angka

Cryptopolitan telah melaporkan beberapa kerugian berprofil tinggi terhadap momok baru pengguna Ethereum, dengan kerugian $50 juta dari Desember menciptakan berita utama terbesar. Rupanya, korban dalam insiden tersebut benar-benar mengirim $50 dalam transaksi uji untuk memastikan mereka memiliki alamat yang benar. 

Namun, dalam waktu yang dibutuhkan untuk menguji alamat dan memulai transfer $50 juta yang sebenarnya, pelaku jahat telah menandai riwayat transaksi pengirim dengan transfer debu mereka sendiri, yang akhirnya menyebabkan kerugian. 

Insiden tersebut menyoroti skala dan kecepatan operasi ini, karena penyerang benar-benar bersaing untuk meracuni alamat korban potensial. Seperti yang disoroti Etherscan, "hanya dua transfer stablecoin" oleh pengguna layanannya memicu "lebih dari 89 email peringatan pantauan alamat." 

Hanya sekitar 1 dari 10.000 upaya yang berhasil, tetapi ketika seseorang membandingkan $79 juta kerugian yang dikonfirmasi di 17 juta upaya yang menargetkan sekitar 1,3 juta pengguna, matematikanya masuk akal bagi penyerang ini, yang mengeluarkan biaya kurang dari $1 untuk setiap upaya. 

Jangan hanya membaca berita kripto. Pahami. Berlangganan newsletter kami. Gratis.