Seorang trader kripto kehilangan hampir 50 juta dolar AS dalam satu transaksi pada 20 Desember, menjadi korban dari serangan “address poisoning” yang rumit. Dalam insiden ini, 49.999.950 USDT langsung ditransfer ke dompet penipu, menyoroti krisis keamanan yang semakin parah di mana pencuri berteknologi tinggi memanfaatkan kebiasaan manusia dasar dan keterbatasan antarmuka pengguna.
Menurut investigator on-chain Specter, korban awalnya melakukan transaksi uji coba sebesar 50 USDT ke alamat wallet pribadinya yang sah saat mencoba memindahkan dana dari exchange. Tindakan ini terdeteksi oleh pelaku, yang segera membuat alamat “palsu” yang dipersonalisasi, dengan empat karakter awal dan empat karakter akhir yang sama persis dengan alamat wallet korban.
Baca selengkapnya: Penipuan Kripto 2025: Cara Mengenali dan Melindungi Diri Anda
Pelaku kemudian mengirim sejumlah kecil kripto dari alamat palsu tersebut ke korban, secara efektif “meracuni” riwayat transaksi pengguna. Dalam diskusi selanjutnya, Specter menyayangkan seorang trader kehilangan dana “karena alasan yang paling tidak mungkin menyebabkan kerugian sebesar itu.” Menanggapi investigator lain, ZachXBT, yang menyampaikan simpati kepada korban, Specter mengatakan:
“Inilah alasan saya kehabisan kata-kata, kehilangan dana sebesar ini hanya karena kesalahan sederhana. Hanya butuh beberapa detik untuk menyalin dan menempel alamat dari sumber yang benar, bukan dari riwayat transaksi. Natal pun jadi hancur.”
Karena sebagian besar wallet kripto modern dan block explorer memotong string alfanumerik panjang—menampilkan elipsis di tengah (misalnya, 0xBAF4…F8B5)—alamat palsu tampak identik dengan alamat korban sekilas. Maka, ketika korban melanjutkan transfer sisa 49.999.950 USDT, mereka mengikuti praktik umum: menyalin alamat penerima dari riwayat transaksi terbaru, bukan dari sumber aslinya.
Dalam waktu 30 menit setelah serangan poisoning, hampir 50 juta dolar AS USDT ditukar menjadi stablecoin DAI, lalu dikonversi menjadi sekitar 16.690 ETH, dan dicuci melalui Tornado Cash. Setelah menyadari apa yang terjadi, korban yang putus asa mengirim pesan on-chain kepada pelaku, menawarkan hadiah white hat sebesar 1 juta dolar AS dengan imbalan pengembalian 98% dana. Hingga 21 Desember, aset tersebut masih belum berhasil dipulihkan.
Pakar keamanan memperingatkan bahwa seiring aset kripto mencapai level tertinggi baru, penipuan “poisoning” berteknologi rendah namun berimbal hasil tinggi ini semakin marak. Untuk menghindari nasib serupa, pemilik aset disarankan selalu mengambil alamat penerima langsung dari tab “receive” di wallet mereka.
Pengguna sebaiknya memasukkan alamat terpercaya ke whitelist di wallet mereka untuk mencegah kesalahan input manual. Mereka juga disarankan menggunakan perangkat yang membutuhkan konfirmasi fisik atas alamat tujuan secara lengkap, sebagai lapisan pemeriksaan kedua yang penting.
- Apa yang terjadi pada serangan 20 Desember? Seorang trader kehilangan hampir 50 juta dolar AS USDT akibat penipuan address poisoning.
- Bagaimana penipuan ini bekerja? Pelaku memalsukan alamat wallet yang tampak identik dalam bentuk terpotong.
- Kemana kripto yang dicuri dipindahkan? Dana dicuci melalui DAI, dikonversi ke ETH, dan dialihkan melalui Tornado Cash.
- Bagaimana trader dapat melindungi diri?
Selalu salin alamat dari tab “receive” di wallet dan whitelist akun terpercaya.
