$50 Juta Lenyap dalam Sekejap: Kesalahan Copy-Paste Wallet Memicu Salah Satu Penipuan Alamat Termahal di Kripto

Poin-Poin Penting:

• Seorang pengguna kripto kehilangan hampir $50 juta dalam USDT setelah menyalin alamat dompet palsu dari riwayat transaksi.
• Serangan tersebut menggunakan address poisoning, memanfaatkan antarmuka dompet yang menyembunyikan bagian tengah alamat.
• Dana dengan cepat ditukar dan dialihkan melalui beberapa dompet, dengan sebagian dikirim ke Tornado Cash, membatasi opsi pemulihan.

Satu kesalahan salin-tempel telah mengakibatkan salah satu kesalahan pengguna termahal yang pernah tercatat on-chain. Insiden ini menyoroti bagaimana kebiasaan antarmuka sederhana dapat mengesampingkan perilaku yang seharusnya berhati-hati dan menyebabkan kerugian yang tidak dapat dipulihkan.

Bagaimana Transfer Uji Coba Rutin Berubah Menjadi Kerugian $50 Juta

Menurut investigator on-chain, termasuk Lookonchain, korban memulai dengan langkah yang dianggap banyak pengguna berpengalaman sebagai praktik terbaik: transaksi uji coba kecil. Pengguna mengirim 50 USDT ke alamat dompet pribadi yang sudah dikenal untuk memastikan keakuratan sebelum memindahkan jumlah yang jauh lebih besar.

Namun, transfer uji coba tersebut menjadi pemicu.

Dalam beberapa saat, seorang penipu menerapkan taktik address poisoning. Penyerang membuat alamat dompet yang memiliki empat digit pertama dan terakhir yang sama dengan alamat asli korban. Transaksi kecil kemudian dikirim ke korban pada alamat ini yang terlihat seperti yang asli, memastikan bahwa itu akan tercatat dalam riwayat transaksi dompet.

Ketika korban kembali untuk menyelesaikan transfer utama: 49.999.950 USDT, mereka menyalin alamat dari riwayat transaksi daripada dari sumber asli yang disimpan. Karena banyak antarmuka dompet memotong alamat dengan "…", alamat palsu tampak sah sekilas. Uang tersebut segera dan permanen ditransfer ke peretas.

Baca Selengkapnya: Pi Network Tandai Dompet Penipuan di Tengah Risiko Token $346 Juta saat 60 Juta Pengguna Menunggu Pembukaan

Address Poisoning: Serangan Teknologi Rendah Dengan Dampak Tinggi

Tidak perlu meretas kunci pribadi atau menggunakan kontrak pintar. Ini bergantung pada antarmuka dan perilaku manusia.

Mengapa Serangan Ini Masih Berhasil dalam Skala Besar

Sebagian besar dompet menyingkat alamat untuk meningkatkan keterbacaan. Transfer sering diperiksa oleh pengguna dengan memeriksa alamat pertama dan terakhir. Ini disalahgunakan oleh penyerang yang menghasilkan alamat yang mencerminkan karakter yang terlihat tersebut.

Dalam kasus ini, penipu melakukan ini segera setelah transaksi uji coba dan ini menandakan pemantauan otomatis. Penyerang membuat kemudahan menyembunyikan alasan yang lebih baik untuk berhati-hati dengan menempatkan alamat yang hampir identik dalam riwayat transaksi korban.

Metode ini dianggap dasar dibandingkan dengan eksploitasi DeFi yang kompleks. Namun hasilnya menunjukkan bahwa bahkan penipuan "sederhana" dapat menghasilkan kerugian bencana ketika jumlah besar terlibat.

Pergerakan On-Chain Setelah Pencurian

Catatan blockchain menunjukkan bahwa USDT yang dicuri tidak diam. Penyerang dengan sangat cepat menukar sebagian dana ke ETH dan mengirimnya ke beberapa dompet, yang merupakan hal umum untuk mengurangi ketertelusuran.

Aset tersebut kemudian ditransfer ke Tornado Cash, mixer privasi yang menyembunyikan jejak transfer. Begitu uang diinvestasikan dalam layanan semacam itu, pemulihan sangat tidak mungkin tanpa tindakan segera dari bursa atau validator.

Rantai dompet dijelaskan oleh analis yang mengklaim itu efisien dan direncanakan sebelumnya yang berarti penipu sudah siap untuk melakukan tindakan segera setelah transfer besar dilakukan.

Mengapa Kasus Ini Mengejutkan Analis

Address poisoning secara luas dikenal dan sering dibahas sebagai penipuan yang mengganggu yang melibatkan jumlah kecil. Apa yang membuat kasus ini menonjol adalah skala dan profil kesalahan.

Korban mengikuti langkah keamanan umum dengan menguji transfer kecil. Ironisnya, tindakan itu memberi penyerang sinyal yang diperlukan untuk menerapkan alamat palsu pada waktu yang tepat.

Pengamat on-chain mencatat bahwa hanya beberapa detik yang dihabiskan untuk menyalin alamat dari sumber asli, daripada riwayat transaksi akan mencegah kerugian sepenuhnya. Kecepatan finalitas blockchain tidak meninggalkan jendela untuk pembalikan.

Baca Selengkapnya: Shenzhen Mengeluarkan Peringatan Penipuan Kripto saat Penipuan Stablecoin Berkembang Biak di Seluruh Tiongkok

Desain Dompet dan Faktor Manusia

Insiden ini menimbulkan pertanyaan tentang pilihan UX dompet. Alamat yang dipotong meningkatkan kejelasan visual tetapi mengurangi keamanan untuk pengguna yang menangani jumlah besar.

Beberapa dompet sekarang memperingatkan pengguna tentang address poisoning atau menandai alamat yang sangat mirip dengan yang dikenal. Yang lain menawarkan whitelisting alamat, di mana transfer dibatasi pada alamat yang telah disetujui sebelumnya. Namun, adopsi fitur-fitur ini tetap tidak konsisten.

Untuk transfer bernilai tinggi, ketergantungan pada pemeriksaan visual saja terbukti tidak cukup. Kasus ini menunjukkan bagaimana bahkan pengguna berpengalaman dapat jatuh ke dalam pola yang dapat diprediksi di bawah tekanan waktu.

Postingan $50 Juta Lenyap dalam Hitungan Detik: Kesalahan Dompet Salin-Tempel Memicu Salah Satu Penipuan Alamat Termahal Kripto muncul pertama kali di CryptoNinjas.