Korban yang putus asa kehilangan 50 juta USDT – bagaimana penipu menyempurnakan serangan address poisoning

Sejarah yang terjadi pada 20 Desember menunjukkan bagaimana kesalahan manusia sederhana dapat menyebabkan kerugian yang katastrofal. Salah satu trader kripto berada dalam situasi putus asa, kehilangan hampir 50 juta dolar akibat manipulasi alamat dompet yang canggih. Ini menjadi peringatan bagi seluruh industri: penipuan modern tidak memerlukan teknologi canggih – cukup dengan memahami sifat manusia dan batasan antarmuka pengguna.

Bagaimana serangan terhadap dompet trader sebenarnya dilakukan

Semua dimulai dari kegiatan rutin. Korban ingin mentransfer dana dari bursa ke dompet pribadinya dan – dengan bijak – melakukan transaksi percobaan sebesar 50 USDT ke alamat yang benar. Tindakan ini ternyata menjadi kesalahan fatal, karena penyerang memantau setiap gerakan.

Dalam beberapa menit, penipu menghasilkan alamat dompet palsu, yang dirancang dengan kesederhanaan yang brilian. Empat karakter pertama dan empat karakter terakhir sama dengan alamat asli korban. Mengapa ini berhasil? Dompet dan penjelajah blok modern mempersingkat rangkaian alfanumerik panjang – menampilkannya sebagai titik-titik di tengah (misalnya 0xBAF4…F8B5). Bagi mata yang tidak awas, kedua alamat tampak identik.

Kemudian, penyerang mengirimkan sejumlah kecil kripto dari alamat palsu ke korban, “menginfeksi” riwayat transaksi korban. Ini adalah jebakan yang dipasang dengan sempurna.

Dari percobaan ke tragedi – kehilangan 50 juta dalam 30 menit

Korban yang putus asa, melihat di riwayat transaksi alamat yang tampak terpercaya, menyalinnya – alih-alih mengunduh dari sumbernya. Saat itu, hidupnya berubah selamanya.

Dia mentransfer sisa 49.999.950 USDT ke alamat palsu tersebut. Dalam waktu kurang dari 30 menit sejak serangan poisoning, dana yang dicuri mulai berpindah-pindah:

• Hampir 50 juta USDT ditukar ke stablecoin DAI (yang menjaga harga di sekitar $1.00)
• Kemudian dikonversi menjadi sekitar 16.690 ETH (yang secara historis bernilai jauh lebih dari $2.080 per koin hari ini)
• Akhirnya, aset tersebut masuk ke Tornado Cash – campuran yang menjamin anonimitas

Ahli blockchain Specter mengomentari kasus ini sebagai keputusasaan yang luar biasa: “Kerugian dari alasan yang paling tidak mungkin – karena kesalahan sederhana. Hanya butuh beberapa detik untuk menyalin alamat dari sumber yang benar.” Rekannya, penyelidik ZachXBT, yang merasa simpati terhadap korban, mendengar balasan: “Natal telah dirusak.”

Ke mana kripto tersebut pergi: jalur melalui DAI dan Tornado Cash

Setelah mengetahui apa yang terjadi, korban yang putus asa mengirim pesan ke penyerang di blockchain, menawarkan hadiah 1 juta dolar untuk pengembalian 98% dana. Namun, hingga 21 Desember, aset tersebut belum dikembalikan. Mereka hilang dalam kekacauan stablecoin dan campuran Tornado Cash, yang hampir tidak bisa dilacak.

Bagaimana melindungi diri dari poisoning alamat

Para ahli keamanan menekankan bahwa seiring meningkatnya nilai aset kripto, serangan semacam ini semakin umum. Ini bukan ancaman di masa depan – ini adalah ancaman saat ini.

Untuk menghindari nasib serupa:

• Selalu ambil alamat penerima langsung dari tab “Terima” di dompet – jangan dari riwayat transaksi
• Tambahkan alamat yang dipercaya ke daftar putih di dompet – ini melindungi dari kesalahan manual saat mengetik
• Pertimbangkan menggunakan perangkat hardware wallet yang memerlukan konfirmasi fisik untuk alamat tujuan lengkap – ini memberikan lapisan verifikasi kedua yang penting
• Salin alamat, lalu tempelkan, dan sebelum menyelesaikan transaksi, bandingkan beberapa karakter dari kedua ujungnya – bahkan jika ada titik-titik di tengah

Kisah 20 Desember ini menjadi peringatan bagi seluruh industri. Di dunia di mana aset digital bernilai miliaran, penipu tidak memerlukan teknologi canggih. Cukup dengan kebiasaan manusia dan kesabaran.