Peretasan terhadap bursa kripto WazirX yang mengakibatkan kerugian sebesar US$230 juta beberapa waktu lalu kembali menyoroti peran penting Tornado Cash dalam dunia kejahatan siber. 

Bagaimana tidak? Sebagian besar dana hasil peretasan tersebut telah dilacak mengalir ke dalam platform ini. 

Lantas, bagaimana sebenarnya cara kerja Tornado Cash yang membuatnya menjadi alat favorit para hacker?

Insiden peretasan WazirX pertama kali dideteksi oleh perusahaan kemanan Web3, Cyvers Alerts pada 18 Juli 2024.

“Sistem kami telah mendeteksi beberapa transaksi mencurigakan yang melibatkan dompet Safe Multisig Anda di jaringan Ethereum,” tulisnya.

Namun sayangnya, pihak WazirX tidak memberikan respon lebih dari 30 menit setelah Cyvers mendeteksi transaksi mencurigakan tersebut.

Peretasan ini menjadi salah satu kasus peretasan kripto terbesar dalam sejarah. Para pelaku berhasil mencuri sejumlah besar aset kripto, termasuk Ethereum (ETH) dan Shiba Inu (SHIB). 

Pelaku peretasan tersebut tidak secara langsung memindahkan aset mereka, melainkan mengirimnya secara bertahap. 

Transaksi terakhir dengan nilai US$12 juta terjadi pada Kamis, 19 September 2024, ketika peretas memindahkan dana curian tersebut ke platform Tornado Cash menggunakan alamat 0x46b9d6f8424eb8075bfaa28127446e5b38340a0a.

Tornado Cash sendiri adalah aplikasi yang dirancang untuk memberikan privasi bagi pengguna kripto dengan mengaburkan alamat dompet di berbagai blockchain. 

Tornado Cash memang menawarkan tingkat privasi yang tinggi, namun layanan ini juga memiliki kelemahan tertentu. 

Meskipun deposit dan penarikan dilakukan di jaringan Ethereum yang transparan dan dapat diperiksa melalui penjelajah blockchain, jejak transaksi tetap dapat dianalisis oleh pihak tertentu. 

Sebagai contoh, jika seseorang menyetor 200 ETH ke Tornado Cash dan kemudian menarik jumlah yang sama dalam waktu singkat, hal ini dapat memberikan petunjuk bahwa kedua transaksi tersebut kemungkinan besar berasal dari entitas yang sama.

Selain itu, jika peretas atau pengguna mixer gagal menggunakan alat seperti VPN atau browser TOR dengan benar, identitas mereka bisa terungkap melalui alamat IP yang digunakan selama transaksi. 

Ini memberikan peluang bagi penegak hukum untuk melacak aktivitas ilegal, terutama ketika kripto yang dicuci dikonversi kembali ke mata uang fiat dan ditransfer ke rekening bank tradisional.

Tornado Cash merupakan inovasi yang luar biasa dalam menjaga privasi transaksi kripto. Bagi mereka yang menghargai anonimitas, memberikan solusi yang memungkinkan transaksi dilakukan tanpa risiko dilacak. 

Namun, layanan ini juga menjadi alat yang berpotensi berbahaya ketika digunakan oleh pihak-pihak yang berniat jahat, seperti peretas yang mencuci hasil curian dari peretasan kripto.

Sayangnya, inovasi ini sering disalahgunakan. Salah satu contohnya adalah Vitalik Buterin yang menggunakan Tornado Cash untuk kepentingan donasi. 

Dalam sebuah tweet, ia mengaku telah menggunakan mixer untuk kepentingan donasi.

“Saya akan mengakui bahwa saya adalah salah satu orang yang telah menggunakan Tornado Cash untuk donasi,” ujarnya.

Dia menggunakannya untuk melindungi penerimanya dari pihak pemerintahan Rusia.

“Niat saya adalah melindungi penerima, bukan diri saya sendiri. Pemerintah Rusia sudah mengetahui posisi saya mengenai isu Ukraina,” tambahnya.

Kasus peretasan WazirX hanyalah salah satu dari banyak contoh di mana Tornado Cash dimanfaatkan oleh penjahat untuk menghilangkan jejak transaksi mereka, dan peristiwa tersebut semakin memperburuk citra layanan mixer ini. 

Dalam dunia kripto yang saat ini terus berkembang, tantangan terbesar adalah menyeimbangkan kebutuhan akan privasi dengan tanggung jawab hukum. [dp]