Seorang pedagang kehilangan hampir $50 juta dalam USDT setelah menjadi korban penipuan “poisoning address”. Penyerang memalsukan alamat dompet yang terlihat identik dengan milik korban, membuatnya tertipu untuk menyalinnya dari riwayat transaksi miliknya.
Trader Kripto Kehilangan $50 Juta dalam USDT akibat Penipuan Poisoning Alamat
DITULIS OLEH
BAGIKAN
Mekanisme Poisoning Address
Seorang pedagang cryptocurrency kehilangan hampir $50 juta dalam satu transaksi pada 20 Desember setelah menjadi korban serangan “poisoning address” yang canggih. Insiden ini, yang melihat 49.999.950 USDT ditransfer langsung ke dompet penipu, menyoroti krisis keamanan yang semakin meningkat di mana pencuri berteknologi tinggi mengeksploitasi kebiasaan manusia dasar dan keterbatasan antarmuka pengguna.
Menurut penyelidik onchain Specter, korban, yang mencoba memindahkan dana dari bursa ke dompet pribadi, awalnya melakukan transaksi uji coba sebesar 50 USDT ke alamat sah miliknya. Ini terdeteksi oleh penyerang, yang segera menghasilkan alamat “spoofed” yang cocok dengan empat karakter pertama dan terakhir dari dompet sah korban.
Baca lebih lanjut: Penipuan Kripto di 2025: Cara Mengenalinya dan Melindungi Diri Anda
Penyerang kemudian mengirim sejumlah kecil kripto dari alamat palsu ini ke korban, secara efektif “meracuni” riwayat transaksi pengguna. Dalam diskusi yang berlangsung di X, Specter menyesalkan bahwa seorang pedagang kehilangan dana karena “salah satu penyebab yang paling tidak mungkin dari kerugian sebesar itu.” Menanggapi penyelidik rekan ZachXBT, yang mengungkapkan kesedihan untuk korban, Specter mengatakan:
“Inilah mengapa saya terdiam, kehilangan jumlah yang sangat besar karena kesalahan sederhana. Hanya beberapa detik untuk menyalin dan menempelkan alamat dari sumber yang benar alih-alih dari riwayat transaksi bisa mencegah semuanya. Natal hancur.”
Kelemahan UI: Elips dan Kesalahan Manusia
Karena sebagian besar dompet kripto modern dan penjelajah blok memotong string alfanumerik panjang—menampilkan alamat dengan elips di tengah (misalnya, 0xBAF4…F8B5)—alamat palsu tampak identik dengan milik korban secara sekilas. Oleh karena itu, ketika korban melanjutkan transfer sisa 49.999.950 USDT, ia mengikuti praktik umum: menyalin alamat penerima dari riwayat transaksi terbaru mereka daripada dari sumber.
Dalam waktu 30 menit setelah serangan “poisoning”, hampir $50 juta dalam USDT ditukar dengan stablecoin DAI sebelum diubah menjadi sekitar 16.690 ETH dan dialirkan melalui Tornado Cash. Setelah menyadari apa yang terjadi, korban yang putus asa mengirim pesan onchain ke penyerang, menawarkan bounty white-hat $1 juta untuk pengembalian 98% dari dana tersebut. Pada 21 Desember, aset-aset tersebut belum dipulihkan.
Pakar keamanan memperingatkan bahwa saat aset kripto mencapai nilai tertinggi baru, penipuan “poisoning” yang berteknologi rendah dengan hasil tinggi ini semakin marak. Untuk menghindari nasib serupa, pemegang aset dihimbau untuk selalu mendapatkan alamat penerima langsung dari tab “Receive” dompet.
Pengguna harus memasukkan alamat yang dipercaya dalam dompet mereka untuk mencegah kesalahan entri manual. Mereka juga harus mempertimbangkan untuk menggunakan perangkat yang memerlukan konfirmasi fisik dari alamat tujuan lengkap untuk memberikan lapisan pemeriksaan kedua yang kritis.
FAQ 💡
- Apa yang terjadi dalam serangan 20 Desember? Seorang pedagang kehilangan hampir $50M USDT karena penipuan poisoning alamat.
- Bagaimana penipuan itu bekerja? Penyerang memalsukan alamat dompet yang terlihat identik dalam bentuk terpotong.
- Ke mana crypto yang dicuri dipindahkan? Dana dicuci melalui DAI, dikonversi ke ETH, dan dialirkan melalui Tornado Cash.
- Bagaimana pedagang dapat melindungi diri mereka sendiri?
Selalu salin alamat dari tab “Receive” dompet dan tambahkan akun terpercaya ke daftar putih.
