Seorang petugas pajak di Bobigny memanfaatkan perangkat lunak internal untuk membuat profil tentang para ahli crypto, miliarder Vincent Bolloré, pengawas penjara, dan seorang hakim. Orang ini kemudian menjual informasi tersebut kepada pelaku kejahatan, yang membayar 800 euro untuk mengorganisasi serangan terhadap seorang pengawas di rumah pribadinya di Montreuil.
Banding dari terdakwa telah ditolak pada 6/1, menurut media lokal.
Kasus ini tidak hanya menarik karena tindakan kriminalnya, tetapi yang lebih penting adalah cara target dipilih. Vector serangan baru tidak lagi berasal dari doxxing di Telegram atau pertukaran yang diretas, melainkan dari akses istimewa ke sistem identifikasi negara – di mana hanya dengan satu query dapat menghubungkan nama dengan alamat, nomor telepon, dan struktur keluarga.
Pada tahun 2024, Inspektorat Kepolisian Nasional Prancis mencatat 93 penyelidikan terkait pelanggaran kerahasiaan profesi dan 76 kasus pengalihan data secara ilegal. Lembaga ini menyebut fenomena jual beli pencarian basis data pemerintah melalui media sosial dan dark web sebagai “uberisasi” penjualan data.
Sebuah penyelidikan independen oleh TF1 juga menemukan “menu layanan” yang beroperasi di Snapchat: 30 euro untuk pencarian registrasi kendaraan, 150 euro untuk pemeriksaan daftar buron, dan 250 euro untuk membuka blokir kendaraan secara ilegal. Transaksi bank terkait seorang tersangka berkisar dari 15 hingga 5.000 euro.
Model keamanan crypto didasarkan pada sifat transaksi yang tidak dapat dibatalkan, dan penyimpanan sendiri membantu menghilangkan risiko dari perantara. Namun, begitu pelaku mengetahui identitas nyata, masalahnya bukan lagi kriptografi, melainkan soal pemaksaan.
Ini bisa dianggap sebagai “nilai yang dapat dieksploitasi maksimal” di dunia nyata – IRL MEV. Di blockchain, MEV berasal dari melihat aliran transaksi sebelumnya. Dalam ruang fisik, nilai dieksploitasi dengan mengamati grafik identitas, lalu memilih jalur pemaksaan yang paling murah.
*Layanan pencarian basis data ilegal dijual dengan harga yang transparan: 30 euro untuk registrasi kendaraan, 150 euro untuk pemeriksaan daftar buron, 250 euro untuk membuka blokir kendaraan.*Pasar pencarian data ilegal telah terbentuk dengan harga yang transparan. Le Parisien melaporkan pada 18/12 bahwa serangan terhadap investor crypto di Prancis meningkat pesat, memaksa pemerintah mengeluarkan peraturan bulan 8/2025 yang menghapus alamat rumah pribadi dari daftar perusahaan RCS.
Langkah ini membantu mengurangi risiko kekerasan dan gangguan, meskipun aparat penegak hukum, bea cukai, dan otoritas pajak tetap memiliki akses.
Dulu, RCS mempublikasikan alamat rumah para pemimpin perusahaan di dokumen Kbis – profil perusahaan yang terbuka. Peraturan bulan 8 hanya menutup satu celah. Sementara itu, basis data pajak tetap terbuka bagi ribuan pegawai, dan pengawasan utamanya bergantung pada deteksi anomali setelah kejadian.
Sistem pajak menyimpan data yang sangat rinci: alamat diperbarui melalui deklarasi, nomor telepon muncul dalam surat-murat, struktur keluarga tercermin dari pengakuan tanggungan, dan profil laba modal mengaitkan berbagai jenis aset dengan individu tertentu. TF1 melaporkan bahwa petugas pajak Prancis dapat mengakses seluruh data ini.
Secara “ekonomi”, model ini condong ke arah pelaku: satu pencarian hanya memakan biaya beberapa puluh hingga ratus euro, sementara satu pelanggaran berhasil bisa menghasilkan pendapatan lima atau enam digit.
ENISA mencatat 586 insiden yang mempengaruhi lembaga pemerintah di UE pada tahun 2024. Ancaman utamanya bukan berasal dari serangan teknik yang kompleks, melainkan dari orang dalam yang memiliki akses sah untuk mengekstrak data dan menjualnya ke pasar sekunder.
*Lembaga pemerintah UE menghadapi 586 insiden keamanan di tahun 2024, sementara Prancis mencatat 93 pelanggaran kerahasiaan profesi dan 76 penyelidikan pencurian data.*Ghalia C. mengakui telah memberikan informasi kepada tiga orang yang melakukan serangan terhadap pengawas. Uang 800 euro menunjukkan ini adalah transaksi layanan. Riwayat pencarian dia mencakup para ahli crypto, miliarder Bolloré, inspektur kesehatan, dan hakim – menunjukkan tindakan menjual akses, bukan dendam pribadi tunggal.
Pemilik crypto dengan profil risiko – keuntungan yang sangat menarik bagi pelaku kejahatan kekerasan. Aset yang disimpan sendiri tidak bisa dibekukan oleh bank atau dibatalkan oleh pengadilan. Nilai besar bisa langsung dipindahkan. Dan pelaporan kejadian kadang-kadang berarti menempatkan diri dalam sasaran otoritas pajak.
Penghapusan alamat dari daftar perusahaan publik menunjukkan bahwa lembaga telah menyadari bahwa risiko fisik terkait crypto berbeda secara fundamental dari keuangan tradisional. Bank bisa membekukan rekening, broker bisa membatalkan transaksi, tetapi transaksi crypto tidak bisa.
Karena itulah, gambaran ancaman beralih dari keamanan teknis ke keamanan identitas. Ketika masalah identitas terpecahkan, pemaksaan menjadi lebih sederhana.
Respon Prancis terhadap gelombang serangan crypto termasuk upaya menyembunyikan alamat mulai 2025, tetapi usulan pengungkapan aset tahun 2026 menimbulkan risiko baru. Jika data identitas adalah sumber daya yang langka, ada tiga tren yang bisa diprediksi: memperluas keamanan daftar perusahaan, memperketat pengawasan dalam sistem negara, dan melanjutkan penjualan akses internal karena motivasi ekonomi tetap menarik.
Paradoksnya, Eropa sedang memperluas transparansi crypto melalui KYC wajib, pelaporan dompet, dan pelacakan transaksi DeFi untuk memerangi pencucian uang dan penghindaran pajak. Persyaratan ini menciptakan basis data terpusat yang mengaitkan identitas dengan aset. Semakin lengkap basis data, semakin tinggi nilai bagi pelaku.
Rancangan anggaran Prancis tahun 2026 mengusulkan pajak 1% per tahun atas aset crypto di atas 2 juta euro, yang harus dilaporkan baik aset yang disimpan sendiri maupun di luar negeri. Tanpa disadari, ini menciptakan “honeypot”: daftar yang dikelola negara tentang individu yang memegang crypto bernilai besar, lengkap dengan alamatnya.
Komunitas teknik biasanya menganggap keamanan crypto sebagai masalah pengelolaan kunci, dan itu benar untuk serangan on-chain. Tapi kasus Bobigny menunjukkan bahwa pengelolaan kunci menjadi tidak berarti ketika pemaksaan fisik dimasukkan ke dalam model ancaman. Dompet keras tidak melindungi ketika pelaku mengetahui alamat rumah dan muncul dengan senjata. Celahnya terletak di tingkat identitas, bukan di tingkat blockchain.
Kasus ini mengungkapkan struktur pasar modal yang beroperasi secara diam-diam. Target tidak tahu bahwa mereka telah diakses, sampai pelaku mengetuk pintu.
