Bagaimana 50 juta USDT menghilang karena kelalaian dalam menyalin alamat – pelajaran keamanan untuk setiap trader

20 Desember dunia kripto gempar saat mendengar tentang kerugian besar. Salah satu trader menjadi korban serangan address poisoning, kehilangan hampir 50 juta USDT dalam satu transaksi. Lebih buruk lagi, insiden ini mengungkap kelemahan mendasar dalam cara kita mengelola alamat dompet – kelemahan yang harus kita tangani dengan serius.

Anatomi Penipuan: Bagaimana Cara Kerja Poisoning Alamat

Skema serangan ini cerdik sekaligus sederhana. Semuanya dimulai saat korban mengirim transaksi percobaan sebesar 50 USDT ke dompetnya sendiri. Tindakan kecil ini menjadi sinyal bagi penipu yang memantau aktivitas di blockchain.

Dalam mempersiapkan serangan, pelaku membuat alamat palsu dengan ciri khas: empat karakter pertama dan empat karakter terakhir identik dengan dompet asli korban. Mengapa memilih seperti itu? Sebagian besar dompet modern dan penjelajah blok memendekkan rangkaian panjang karakter, menampilkan elipsis di tengah, yaitu simbol “…” ( misalnya: 0xBAF4…F8B5). Dengan trik ini, alamat palsu dalam bentuk singkat tampak tak terbedakan dari yang asli.

Selanjutnya, penyerang mengirim sejumlah kecil kripto dari alamat palsu tersebut ke korban, secara efektif “meracuni” riwayat transaksi-nya. Ketika trader melakukan transfer jumlah utama, dia menyalin alamat penerima dari transaksi terakhir – sebuah langkah sakral bagi setiap penyerang.

Dari Transfer ke Pencucian: Cukup 30 Menit

Hasilnya sangat menghancurkan. 49.999.950 USDT langsung masuk ke rekening penipu. Tindakan pelaku sangat cepat – dalam setengah jam, dana tersebut ditukar ke DAI, dikonversi menjadi sekitar 16.690 ETH, dan melalui Tornado Cash untuk mengaburkan jejak digitalnya.

Penyidik Specter, yang meneliti kasus ini, menyatakan keputusasaan: “Kerugian sebesar ini karena kesalahan biasa. Hanya butuh beberapa detik untuk mengambil alamat dari sumber yang benar, bukan dari riwayat, dan hal ini bisa dihindari."

Upaya Putus Asa untuk Memperbaiki – dan Tidak Ada Solusi

Korban, menyadari tragedi ini, mengirim pesan di blockchain kepada penyerang dengan tawaran white-hat: 1 juta dolar sebagai hadiah sebagai imbalan pengembalian 98% dari dana yang dicuri. Tawaran ini tidak mendapat balasan. Hingga 21 Desember, dana tersebut belum dipulihkan.

Bagaimana Melindungi Diri dari Address Poisoning

Para ahli keamanan siber memperingatkan bahwa seiring meningkatnya kapitalisasi pasar kripto, serangan teknologi rendah namun sangat menguntungkan ini semakin umum terjadi.

Untuk menghindari skenario serupa:

Unduh alamat dari sumber terpercaya. Jangan pernah menyalin alamat penerima dari riwayat transaksi. Sebaliknya, selalu gunakan tab “Terima” di dompet Anda.

Pertahankan daftar kontak putih. Sebagian besar dompet modern memungkinkan menambahkan alamat terpercaya ke daftar putih. Solusi sederhana ini dapat melindungi Anda dari kesalahan saat memasukkan secara manual.

Verifikasi alamat lengkap sebelum konfirmasi. Pertimbangkan menggunakan perangkat keamanan yang memerlukan konfirmasi fisik terhadap seluruh alamat tujuan sebelum transaksi diselesaikan. Lapisan verifikasi tambahan ini bisa menjadi penentu.

Kisah trader yang kehilangan hampir 50 juta USDT ini bukan sekadar cerita lain dari dunia kripto – ini pengingat bahwa dalam sistem keuangan digital, ancaman terbesar kadang bersembunyi di tempat yang paling tidak terduga.