Seorang pengguna kripto kehilangan $50 juta dalam USDT setelah menjadi korban penipuan address poisoning dalam eksploitasi onchain yang masif.
Pencurian yang terdeteksi oleh perusahaan keamanan Web3, Web3 Antivirus, terjadi setelah pengguna mengirim transaksi uji coba sebesar $50 untuk mengonfirmasi alamat tujuan sebelum mentransfer sisa dana.
Loading…
Dalam hitungan menit, penipu membuat alamat dompet yang sangat mirip dengan tujuan, mencocokkan karakter pertama dan terakhir, mengetahui bahwa sebagian besar dompet menyingkat alamat dan hanya menampilkan awalan dan akhiran.
Penipu kemudian mengirimkan korban sejumlah kecil "dust" untuk meracuni riwayat transaksi mereka. Tampaknya meyakini bahwa alamat tujuan sah dan dimasukkan dengan benar, korban menyalin alamat dari riwayat transaksi mereka dan akhirnya mengirim $49.999.950 USDT ke alamat penipu.
Transaksi dust kecil ini sering dikirim ke alamat dengan kepemilikan besar, meracuni riwayat transaksi dalam upaya menangkap pengguna dalam kesalahan copy-paste, seperti dalam kasus ini. Bot yang melakukan transaksi ini menjaring secara luas, berharap untuk sukses, yang mereka capai dalam kasus ini.
Data blockchain menunjukkan dana yang dicuri kemudian ditukar dengan ether ETH$2.978,33 dan dipindahkan ke berbagai dompet. Beberapa alamat yang terlibat sejak itu telah berinteraksi dengan Tornado Cash, crypto mixer yang dikenai sanksi, dalam upaya untuk mengaburkan jejak transaksi.
Sebagai tanggapan, korban menerbitkan pesan onchain yang menuntut pengembalian 98% dari dana yang dicuri dalam waktu 48 jam. Pesan tersebut, yang didukung dengan ancaman hukum, menawarkan penyerang $1 juta sebagai hadiah white-hat jika aset dikembalikan secara penuh.
Kegagalan untuk mematuhi, pesan itu memperingatkan, akan memicu eskalasi hukum dan tuntutan pidana.
"Ini adalah kesempatan terakhir Anda untuk menyelesaikan masalah ini secara damai," tulis korban dalam pesan tersebut. "Jika Anda gagal mematuhi: kami akan meningkatkan masalah ini melalui saluran penegakan hukum internasional yang sah."
Address poisoning tidak mengeksploitasi kerentanan dalam kode atau kriptografi, tetapi sebaliknya memanfaatkan kebiasaan pengguna, yaitu ketergantungan pada pencocokan alamat parsial dan copy-paste dari riwayat transaksi.
Sumber: https://www.coindesk.com/web3/2025/12/20/crypto-user-loses-usd50-million-in-address-poisoning-scam
