$50M Hilang dalam Hitungan Detik: Kesalahan Copy-Paste Dompet Memicu Salah Satu Penipuan Alamat Termahal di Dunia Crypto

CryptoNinjas2025/12/20 11:56

Tampilkan aslinya

Oleh:CryptoNinjas

Poin-Poin Utama:

Seorang pengguna crypto kehilangan hampir
$50 juta dalam USDT
setelah menyalin alamat dompet palsu dari riwayat transaksi.
Serangan ini menggunakan
address poisoning
, memanfaatkan antarmuka dompet yang menyembunyikan bagian tengah alamat.
Dana dengan cepat ditukar dan dialirkan melalui beberapa dompet, dengan sebagian dikirim ke
Tornado Cash
, sehingga membatasi opsi pemulihan.

Satu kesalahan copy-paste telah menyebabkan salah satu kesalahan pengguna termahal yang pernah tercatat di on-chain. Insiden ini menyoroti bagaimana kebiasaan sederhana dalam menggunakan antarmuka dapat mengalahkan perilaku hati-hati dan menyebabkan kerugian yang tidak dapat dibalikkan.

$50M Hilang dalam Hitungan Detik: Kesalahan Copy-Paste Dompet Memicu Salah Satu Penipuan Alamat Termahal di Dunia Crypto image 0

Daftar Isi

Bagaimana Transfer Uji Coba Rutin Berubah Menjadi Kerugian $50 Juta
Address Poisoning: Serangan Teknologi Rendah dengan Dampak Tinggi
- Mengapa Serangan Ini Masih Efektif dalam Skala Besar
- Pergerakan On-Chain Setelah Pencurian
Mengapa Kasus Ini Mengejutkan Para Analis
- Desain Dompet dan Faktor Manusia

Bagaimana Transfer Uji Coba Rutin Berubah Menjadi Kerugian $50 Juta

Menurut para peneliti on-chain, termasuk Lookonchain, korban memulai dengan langkah yang banyak dianggap sebagai praktik terbaik oleh pengguna berpengalaman: melakukan transaksi uji coba dalam jumlah kecil. Pengguna mengirim

50 USDT

ke alamat dompet pribadi yang sudah dikenal untuk memastikan keakuratan sebelum memindahkan jumlah yang jauh lebih besar.

Namun, transfer uji coba itu justru menjadi pemicu.

Dalam hitungan detik, penipu melancarkan taktik address poisoning. Penyerang membuat alamat dompet yang memiliki empat digit pertama dan terakhir yang sama dengan alamat asli korban. Sebuah transaksi kecil kemudian dikirim ke korban pada alamat ini yang tampak seperti alamat asli, memastikan bahwa transaksi tersebut tercatat dalam riwayat transaksi dompet korban.

Ketika korban kembali untuk melakukan transfer utama:

49.999.950 USDT

, mereka menyalin alamat dari riwayat transaksi alih-alih dari sumber asli yang telah disimpan. Karena banyak antarmuka dompet memotong alamat dengan “…”, alamat palsu tampak sah sekilas. Uang pun langsung dan secara permanen ditransfer ke hacker.

Address Poisoning: Serangan Teknologi Rendah dengan Dampak Tinggi

Tidak perlu membobol kunci pribadi atau menggunakan smart contract. Serangan ini bergantung pada antarmuka manusia dan perilaku pengguna.

Mengapa Serangan Ini Masih Efektif dalam Skala Besar

Sebagian besar dompet mempersingkat alamat untuk meningkatkan keterbacaan. Pengguna sering memeriksa transfer dengan mencocokkan digit awal dan akhir alamat. Hal ini dimanfaatkan oleh penyerang yang membuat alamat dengan karakter yang tampak serupa.

Dalam kasus ini, penipu melakukannya segera setelah transaksi uji coba, menandakan adanya pemantauan otomatis. Penyerang membuat kemudahan menjadi alasan untuk mengabaikan kehati-hatian dengan menempatkan alamat yang hampir identik dalam riwayat transaksi korban.

Metode ini dianggap sederhana dibandingkan dengan eksploitasi DeFi yang kompleks. Namun hasilnya menunjukkan bahwa penipuan “sederhana” pun dapat menimbulkan kerugian besar jika melibatkan jumlah dana yang besar.

Pergerakan On-Chain Setelah Pencurian

Catatan blockchain menunjukkan bahwa USDT yang dicuri tidak dibiarkan diam. Penyerang dengan sangat cepat menukar sebagian dana ke ETH dan mengirimkannya ke beberapa dompet, yang merupakan cara umum untuk mengurangi keterlacakan.

$50M Hilang dalam Hitungan Detik: Kesalahan Copy-Paste Dompet Memicu Salah Satu Penipuan Alamat Termahal di Dunia Crypto image 1

Aset tersebut kemudian dipindahkan ke Tornado Cash, sebuah privacy mixer yang menyembunyikan jejak transfer. Begitu dana masuk ke layanan seperti ini, pemulihan hampir mustahil tanpa tindakan segera dari bursa atau validator.

Rangkaian dompet dijelaskan oleh para analis sebagai efisien dan sudah direncanakan sebelumnya, yang berarti penipu sudah siap bertindak segera setelah transfer besar dilakukan.

Mengapa Kasus Ini Mengejutkan Para Analis

Address poisoning sudah dikenal luas dan sering dibahas sebagai penipuan yang mengganggu dengan jumlah kecil. Yang membuat kasus ini menonjol adalah skala dan profil kesalahan.

Korban mengikuti langkah keamanan umum dengan melakukan uji coba transfer kecil. Ironisnya, tindakan itu justru memberi sinyal kepada penyerang untuk meluncurkan alamat palsu pada saat yang tepat.

Pengamat on-chain mencatat bahwa hanya beberapa detik yang dihabiskan untuk menyalin alamat dari sumber asli, bukan dari riwayat transaksi, akan sepenuhnya mencegah kerugian. Kecepatan finalitas blockchain tidak memberi ruang untuk pembalikan.

Desain Dompet dan Faktor Manusia

Insiden ini menimbulkan pertanyaan tentang pilihan UX dompet. Alamat yang dipersingkat memang meningkatkan kejelasan visual, tetapi mengurangi keamanan bagi pengguna yang menangani dana besar.

Beberapa dompet kini memperingatkan pengguna tentang address poisoning atau menandai alamat yang mirip dengan yang sudah dikenal. Yang lain menawarkan fitur whitelist alamat, di mana transfer dibatasi hanya ke alamat yang telah disetujui sebelumnya. Namun, adopsi fitur-fitur ini masih belum konsisten.

Untuk transfer bernilai tinggi, mengandalkan pemeriksaan visual saja terbukti tidak cukup. Kasus ini menunjukkan bahwa bahkan pengguna berpengalaman pun bisa terjebak dalam pola yang dapat diprediksi di bawah tekanan waktu.

Disclaimer: Konten pada artikel ini hanya merefleksikan opini penulis dan tidak mewakili platform ini dengan kapasitas apa pun. Artikel ini tidak dimaksudkan sebagai referensi untuk membuat keputusan investasi.

PoolX: Raih Token Baru

APR hingga 12%. Selalu aktif, selalu dapat airdrop.

Kunci sekarang!