Bagaimana Arsitektur Blockchain Membuat Pengguna Rentan terhadap Serangan Address Poisoning

Insiden mengejutkan baru-baru ini mengungkap kerentanan kritis dalam cara antarmuka dompet menangani verifikasi alamat. Seorang pengguna kehilangan hampir $50 juta dolar dalam USDT setelah tanpa sadar mengirim dana ke dompet penipu alih-alih penerima yang sebenarnya. Metode serangan—yang dikenal sebagai poisoning alamat—mengungkap persimpangan yang mengkhawatirkan antara pilihan desain blockchain dan perilaku antarmuka pengguna yang baru mulai dipahami oleh para peneliti keamanan.

Penjelasan Mekanisme Serangan

Poisoning alamat memanfaatkan aspek fundamental dari cara sistem blockchain berbasis akun bekerja. Penyerang memulai dengan membuat alamat dompet yang sangat mirip dengan salah satu yang pernah digunakan korban sebelumnya. Untuk membuat alamat palsu ini tampak sah, penipu mengirim sejumlah kecil USDT ke alamat tersebut, menyisipkannya langsung ke dalam riwayat transaksi pengguna.

Sebagian besar antarmuka dompet menampilkan transaksi sebelumnya sebagai referensi yang nyaman bagi pengguna. Saat memulai transfer besar, pengguna secara alami menggulir riwayat ini dan menyalin alamat—perilaku yang telah lama didorong oleh perancang dompet demi kenyamanan. Penipu mengandalkan alur kerja ini. Pada saat korban mencoba mentransfer sekitar $50 juta dolar dalam USDT setelah transaksi percobaan dari platform perdagangan utama, mereka tanpa sadar memilih alamat yang telah terkontaminasi. Satu klik saja menyelesaikan transfer ke akun penyerang, dengan keabadian blockchain memastikan transaksi tersebut tidak dapat dibatalkan.

Mengapa Model Berbasis Akun Rentan

Ekosistem cryptocurrency beroperasi dengan dua sistem akuntansi yang secara fundamental berbeda: model berbasis akun dan model UTXO.

Ethereum dan sebagian besar jaringan yang kompatibel dengan EVM menggunakan pendekatan berbasis akun, di mana setiap alamat berfungsi sebagai akun permanen yang mengumpulkan saldo. Desain ini memungkinkan dompet untuk mempertahankan riwayat alamat yang terlihat dan mendorong pengguna untuk menggunakan kembali alamat, menciptakan lingkungan yang ideal untuk serangan poisoning alamat. Kenyamanan yang membuat sistem ini ramah pengguna justru menjadi kerentanan keamanan.

Bitcoin dan Cardano, sebaliknya, menggunakan model UTXO (Unspent Transaction Output). Dalam sistem ini, setiap transaksi mengkonsumsi output lama dan menghasilkan output baru sepenuhnya. Tidak ada konsep saldo akun permanen—sebaliknya, blockchain melacak koin individual dan kepemilikannya. Yang penting, arsitektur ini menghilangkan riwayat alamat permanen yang dieksploitasi oleh poisoning alamat. Ketika antarmuka dompet bergantung pada model UTXO, pengguna memiliki jauh lebih sedikit alamat historis untuk dirujuk, sehingga serangan menjadi jauh lebih sulit dilakukan.

Tanggapan Industri dan Langkah Pencegahan

Insiden ini telah memicu diskusi mendesak tentang standar desain dompet. Pengembang dompet terkemuka mulai mengimplementasikan fitur keamanan berbasis addEventListener yang memicu peringatan verifikasi saat pengguna menempelkan alamat, menambah hambatan dalam proses penyalinan. Beberapa telah merancang ulang layar verifikasi alamat untuk menampilkan hanya sebagian alamat yang cocok, memaksa pengguna untuk mengonfirmasi setiap karakter secara manual.

Langkah-langkah perlindungan teknis ini menangani gejala, bukan akar penyebabnya. Solusi yang lebih komprehensif melibatkan keputusan arsitektur di tingkat protokol—pilihan yang mendukung model seperti UTXO yang tidak mempertahankan riwayat alamat permanen. Namun, mengingat dominasi sistem berbasis akun, perlindungan praktis segera lebih penting dalam waktu dekat.

Persimpangan Desain dan Perilaku Manusia

Peneliti keamanan menekankan bahwa insiden ini bukanlah kegagalan protokol maupun bug kontrak pintar. Sebaliknya, ini menunjukkan bagaimana arsitektur blockchain dan perilaku manusia berinteraksi dengan cara yang tidak diduga oleh perancangnya. Pengguna mempercayai antarmuka dompet untuk menampilkan opsi yang aman, tetapi antarmuka tersebut mewarisi kerentanan dari pilihan arsitektur dasar yang dibuat bertahun-tahun sebelumnya.

Pembaruan keamanan dompet yang mengikuti insiden ini kini secara eksplisit memperingatkan pengguna agar tidak menyalin alamat dari riwayat transaksi dan merekomendasikan penggunaan verifikasi kode QR atau alur konfirmasi dompet perangkat keras. Perubahan prosedur ini mengakui sebuah kenyataan keras: kewaspadaan individu saja tidak cukup untuk mengatasi kerentanan desain.

Seiring industri cryptocurrency berkembang, memahami tradeoff arsitektur ini menjadi sangat penting. Pilihan antara kenyamanan dan keamanan, antara akun permanen dan output sementara, memiliki konsekuensi nyata yang diukur dalam jutaan dolar. Generasi berikutnya dari aplikasi blockchain harus mempertimbangkan faktor-faktor ini dengan hati-hati sejak fase awal desain.