Baru-baru ini saya membaca tentang sebuah penipuan yang cukup mengerikan di ruang mata uang kripto. Seorang influencer cukup terkenal di X dengan hampir 25 ribu pengikut bernama Sillytuna kehilangan 24 juta USD hanya karena satu kelalaian kecil. Kejadian ini dikonfirmasi oleh perusahaan keamanan blockchain PeckShield tahun lalu, dan benar-benar layak menjadi peringatan bagi kita semua.

Mekanisme serangannya cukup canggih. Pelaku membuat sebuah alamat dompet palsu, yang hanya berbeda beberapa karakter di tengah dari alamat asli Sillytuna, tetapi karakter di awal dan akhir sama persis. Setelah itu mereka mengirim sebuah transaksi kecil yang tidak bernilai dari alamat ini ke dompet korban. Tujuannya sangat jelas - membuat alamat palsu muncul dalam riwayat transaksi, sehingga saat Sillytuna perlu mengirim uang lagi, dia akan menyalin alamat dari riwayat tanpa memeriksa dengan teliti.

Dan memang demikian, saat Sillytuna melakukan transfer besar, dia secara tidak sengaja menyalin alamat yang terinfeksi. 24 juta USD USDC ( secara spesifik aEthUSDC) dikirim langsung ke tangan pelaku. Setelah itu, kami melihat pelaku ini dengan cepat mengubah sekitar 20 juta USD menjadi DAI, membaginya ke beberapa dompet terpisah, lalu mulai memindahkan ke jaringan Arbitrum - langkah persiapan khas sebelum mencoba mencuci uang.

Yang menakutkan di sini adalah ini bukan sebuah celah keamanan teknis yang rumit. Ini sepenuhnya adalah teknik sosial - memanfaatkan kelalaian manusia. Dan ini semakin umum terjadi. Sementara orang fokus pada keamanan bursa atau bug kontrak pintar, serangan seperti ini justru menyebabkan kerugian yang jauh lebih besar.

Menurut para ahli keamanan, hal terpenting adalah waspada. Setiap kali melakukan transfer uang besar, Anda harus memeriksa dengan teliti setiap karakter dari alamat tujuan - bukan sekali, tetapi tiga kali. Lebih baik lagi menggunakan buku alamat di dompet, menyimpan kontak yang sudah diverifikasi daripada menyalin dari riwayat. Cara lain yang sangat efektif adalah mengirim transaksi percobaan kecil terlebih dahulu - jika sampai ke tempat yang benar, baru kirim jumlah utama. Jika Sillytuna melakukan hal ini, dia mungkin bisa menghindari kerugian ini.

Bagi mereka yang memiliki aset besar, perlu menerapkan beberapa langkah keamanan dasar. Pertama, pisahkan dompet cold storage untuk menyimpan saldo besar dan dompet hot untuk transaksi harian. Kedua, gunakan pengaturan multisig (multisig) agar setiap transaksi besar memerlukan banyak persetujuan. Ketiga, manfaatkan nama domain ENS atau alias dompet yang dapat dibaca huruf, bukan deretan angka hex panjang, karena lebih sulit dipalsukan. Keempat, gunakan alat simulasi transaksi untuk melihat hasilnya sebelum menandatangani.

Hal positifnya adalah komunitas blockchain sedang aktif mencari solusi. Beberapa ide termasuk meningkatkan antarmuka dompet agar menonjolkan alamat yang tidak cocok, atau menambahkan layar peringatan saat Anda mengirim ke alamat baru untuk pertama kalinya. Tapi pada akhirnya, keamanan harus menjadi bagian alami dari pengalaman pengguna, bukan pemikiran yang terlambat.

Kejadian ini juga menunjukkan tantangan besar dalam melacak uang yang dicuri di berbagai blockchain. Ketika uang dipindahkan melalui banyak jaringan seperti itu, pemulihannya hampir tidak mungkin. Satu-satunya yang bisa membantu adalah jika pelaku mencoba menukar uang di bursa terpusat tertentu - saat itu perusahaan keamanan seperti PeckShield atau Chainalysis dapat menandai alamat dan bursa bisa membekukannya.

Ngomong-ngomong, jika Anda menjadi korban penipuan ini, hal pertama yang harus dilakukan adalah melaporkan ke perusahaan keamanan blockchain dan bursa terkait. Meskipun pemulihan tidak pasti, laporan tersebut akan membantu menandai alamat dan mungkin mencegah pelaku menarik uang tunai.

Singkatnya, keamanan uang kripto bukan hanya soal menjaga kunci pribadi dengan aman. Ini juga soal memverifikasi setiap detail secara hati-hati, terutama saat jumlah uang besar terlibat. Pelajaran dari Sillytuna adalah pengingat bahwa dalam dunia yang terdesentralisasi, tanggung jawab akhir selalu ada di tangan Anda. Teknologi memberi kita kebebasan finansial yang belum pernah ada sebelumnya, tetapi juga menuntut kehati-hatian yang belum pernah terjadi sebelumnya.