Korban yang putus asa kehilangan 50 juta USDT akibat penipuan poisoning address

Insiden tragis dari bulan Desember lalu menunjukkan betapa cepatnya jumlah besar mata uang kripto bisa hilang karena satu kesalahan sederhana. Salah satu trader berada dalam situasi putus asa ketika kehilangan hampir 50 juta USDT akibat serangan canggih yang memanfaatkan teknologi yang tidak terlalu mutakhir, tetapi kecenderungan alami manusia untuk bergantung pada riwayat browser dan dompetnya.

Bagaimana penyerang menjerat trader

Semua dimulai dengan hal yang tidak mencurigakan. Trader ingin memindahkan asetnya dari bursa ke dompet pribadi dan sebelum melakukan transfer utama, dia melakukan transaksi percobaan sebesar 50 USDT. Transaksi kecil dan hati-hati ini ke alamat dompet aslinya justru menjadi penemuan bagi penyerang yang memantau setiap gerakannya.

Penjahat siber segera menghasilkan alamat dompet palsu – dan di sinilah detail pentingnya – empat karakter pertama dan empat karakter terakhir dari alamat palsu tersebut identik dengan yang asli. Misalnya, jika alamat asli terlihat seperti 0xBAF4…F8B5, penipu membuat alamat yang tampak sama dari pandangan pertama dan tidak bisa dibedakan dari yang asli oleh pengguna mana pun.

Riwayat transaksi beracun – jebakan tak terlihat

Penyerang mengirim sejumlah kecil mata uang kripto dari alamat palsu tersebut langsung ke korban. Tindakan ini terbukti brilian – menghancurkan riwayat transaksi trader dengan menempatkan alamat palsu di entri terbaru. Sebagian besar dompet dan penjelajah blok modern, karena panjangnya alamat, mempersingkatnya dengan tanda elipsis di tengah – itulah sebabnya alamat palsu tersebut tampak identik dengan yang asli.

Ketika korban memutuskan untuk memindahkan sisa 49.999.950 USDT, dia terjebak pada refleks alami: menyalin alamat penerima dari transaksi terakhir alih-alih mengambilnya langsung dari tab “Terima” di dompet. Satu detik kelalaian, satu copy-paste dari sumber yang salah – dan dana tersebut langsung masuk ke rekening penipu.

Pelarian cepat: DAI, ETH, dan anonimisasi

Hanya 30 menit setelah address poisoning terjadi, USDT yang dicuri ditukar dengan stablecoin DAI (yang menjaga nilai stabil sekitar 1,00 USD), lalu dengan cepat dikonversi menjadi sekitar 16.690 ETH. Berdasarkan data saat insiden, ETH diperkirakan bernilai beberapa ribu dolar per koin, yang mengonfirmasi besarnya kerugian dalam dolar AS. Mata uang kripto tersebut kemudian melewati Tornado Cash – layanan pencampur yang menghilangkan hubungan langsung antara alamat pengirim dan penerima, secara praktis menyulitkan pelacakan dan pemulihan dana.

Upaya putus asa – dan kegagalan

Ketika trader menyadari apa yang terjadi, dia mengirim pesan on-chain kepada penyerang dengan tawaran hadiah white-hat – menawarkan 1 juta dolar sebagai imbalan pengembalian 98 persen dana yang dicuri. Ini adalah upaya negosiasi dengan orang yang baru saja kehilangan uang mereka. Jawabannya? Tidak ada. Hingga saat laporan ini dipublikasikan, aset tersebut belum berhasil dipulihkan.

Peneliti keamanan terkenal, Specter, yang menganalisis insiden ini, menyatakan kekagumannya terhadap perkembangan situasi: “Ini mungkin cara paling tidak mungkin untuk kehilangan jumlah sebesar ini. Hanya butuh beberapa detik untuk menyalin alamat dengan benar, dan seluruh tragedi bisa dihindari.”

Mengapa serangan ini semakin umum?

Seiring meningkatnya nilai portofolio kripto, penipuan jenis address poisoning menjadi lebih menguntungkan bagi penjahat siber daripada sebelumnya. Ini bukan peretasan rumit pada protokol canggih, tidak memerlukan exploit Zero Day – hanya membutuhkan observasi, kecepatan, dan pemanfaatan sifat manusia.

Empat cara praktis melindungi diri dari address poisoning

Agar terhindar dari nasib serupa, trader berpengalaman maupun pengguna pemula harus menerapkan beberapa kebiasaan sederhana:

Pertama, selalu ambil alamat penerima langsung dari tab “Terima” di dompet Anda atau langsung dari orang/layanan yang Anda kirimi dana. Jangan pernah menyalin alamat dari riwayat transaksi, sekalipun Anda yakin itu yang benar.

Kedua, tambahkan semua alamat yang dipercaya ke daftar putih di dompet Anda. Banyak dompet kripto modern menawarkan fitur ini – memungkinkan Anda menandai alamat tertentu sebagai aman dan menerima peringatan saat mencoba mengirim dana ke alamat di luar daftar.

Ketiga, jika Anda menggunakan verifikasi alamat lengkap (full address verification), buatlah standar di dompet hardware atau perangkat lain yang memerlukan konfirmasi fisik untuk setiap transfer. Ini menambahkan lapisan verifikasi kedua – bahkan jika Anda menyalin alamat yang salah, perangkat akan menampilkannya secara lengkap, dan Anda akan menyadari kesalahan tersebut.

Keempat, untuk transfer besar, selalu lakukan transaksi percobaan kecil terlebih dahulu. Ini adalah strategi klasik yang digunakan trader dalam artikel ini – namun dalam kasusnya, penyerang sudah mempersiapkan diri terhadap langkah hati-hati ini dan merespons secara tepat.

Insiden ini menjadi pelajaran berulang bahwa keamanan di dunia kripto tidak selalu bergantung pada teknologi terbaru – kadang hanya soal perhatian dan kebiasaan.