Seorang pengguna cryptocurrency kehilangan hampir $50 juta akibat kesalahan mahal yang disebabkan oleh menyalin alamat palsu dan mempercayai kemiripan visual. Menurut pembaruan dari Lookonchain, korban menyalin alamat dompet yang salah ketika melakukan transfer crypto.
Bagaimana penyerang memanfaatkan "kesalahan umum"
Perlu dicatat, korban telah melakukan uji coba sebesar $50 ke alamatnya sendiri, yang memungkinkan penipu untuk memalsukan dompet tersebut. Pelaku menggunakan empat karakter pertama dan terakhir yang sama untuk melakukan "poison attack".
Serangan ini memanfaatkan antarmuka dompet umum yang mempersingkat alamat agar mudah dibaca.
Alamat palsu yang dibuat oleh penyerang itulah yang secara keliru disalin oleh korban dan kemudian mentransfer sisa dana sebesar $49.999.950. Perangkap yang dipasang penyerang berhasil, menyebabkan hilangnya dana, karena transaksi blockchain tidak dapat dibatalkan.
Insiden ini menekankan perlunya pengguna selalu memverifikasi seluruh alamat, bukan hanya beberapa karakter pertama dan terakhir. Hal ini karena penipuan address poisoning meningkat secara signifikan pada tahun 2025, dengan penyerang jahat mencari celah dari kesalahan pemilik dompet.
Pakar selalu menyarankan untuk tidak "copy dan paste" alamat dari riwayat transaksi demi kenyamanan.
Tindakan seperti itu bisa menyebabkan menyalin alamat palsu dan mengirim dana ke lokasi yang berbeda. Oleh karena itu, pengguna diingatkan untuk selalu berhenti sejenak dan memverifikasi semua transfer setidaknya dua kali, terutama untuk jumlah besar.
Bisakah upaya kolaboratif menekan eksploitasi online?
Beberapa anggota komunitas online telah menyarankan agar sektor crypto menormalkan penggunaan smart contract dan whitelist alamat. Mereka juga mengusulkan perlunya kampanye edukasi yang terus-menerus untuk meningkatkan kesadaran pengguna tentang kerentanan ini.
Pada awal Mei 2025, bursa terkemuka Coinbase bekerja sama dengan otoritas penegak hukum untuk mencegah skema spoofing yang bertujuan memanipulasi pasar. Seperti yang disorot oleh Chief Legal Officer Coinbase, Paul Grewal, skema spoofing tersebut dipimpin oleh Chirag Tomar, yang telah mencuri lebih dari $20 juta dari pengguna.
Tomar menyamar sebagai Coinbase dan mengirim email palsu ke pengguna yang tidak curiga serta memalsukan komunikasi resmi untuk menipu korban. Insiden ini menunjukkan kekuatan upaya kolaboratif dalam menangani penipuan di industri crypto.
Secara umum, pelaku jahat ini mencari cara untuk mengeksploitasi penawaran sah dan mengkloningnya untuk menipu pengguna.
Hal ini mungkin menjelaskan alasan Binance, dalam acara terbarunya di Dubai, mengeluarkan pembaruan penting kepada pengguna. Binance memperingatkan pengguna agar tidak mengklik tautan apa pun yang bukan dari saluran siaran resmi Binance Live. Saran ini diberikan untuk melindungi mereka dari serangan penipu.
