Bagaimana Cacat Desain Dompet Crypto Mengakibatkan Pencurian $50 Juta USDT: Penjelasan Serangan Racun Alamat

Pada 20 Desember, sebuah insiden yang menghancurkan mengungkap salah satu kerentanan paling terabaikan dalam dunia cryptocurrency. Seorang trader menjadi korban penipuan address poisoning yang merugikan mereka hampir $50 juta USDT dalam satu transaksi—kerugian ini bukan disebabkan oleh hacking yang canggih, tetapi oleh manipulasi perilaku manusia yang cerdas dikombinasikan dengan kekurangan mendasar dalam cara dompet modern menampilkan address.

Pengaturan: Kepercayaan Fatal pada Riwayat Transaksi

Serangan dimulai secara tidak mencurigakan. Korban memulai transfer percobaan kecil sebesar 50 USDT dari bursa ke dompet pribadi mereka, sebuah praktik keamanan standar. Namun, tindakan yang tampaknya rutin ini memicu jebakan si penipu. Investigator on-chain Specter mendokumentasikan bahwa pelaku langsung mendeteksi transaksi ini dan menghasilkan address dompet palsu—yang tampak identik dengan address asli saat ditampilkan dalam bentuk terpotong (misalnya, 0xBAF4…F8B5).

Address palsu tersebut mempertahankan empat karakter pertama dan empat karakter terakhir dari dompet asli korban, sehingga hampir tidak dapat dibedakan sekilas. Pelaku kemudian mengirim sejumlah kecil cryptocurrency dari address palsu ini, secara efektif “meracuni” riwayat transaksi korban dengan menyisipkan diri ke dalam antarmuka buku address.

Mengapa Desain Dompet Modern Membuat Korban Rentan

Kebanyakan dompet cryptocurrency dan explorer blockchain menggunakan pemotongan address untuk meningkatkan keterbacaan antarmuka pengguna. Pilihan desain ini, meskipun praktis untuk tampilan, secara tidak sengaja menciptakan perlindungan sempurna bagi serangan address poisoning. Ketika korban kemudian berusaha mentransfer sisa 49.999.950 USDT, mereka secara alami mengikuti alur kerja umum: menyalin address penerima langsung dari riwayat transaksi terakhir daripada memasukkan secara manual atau mengambilnya dari fungsi terima di dompet.

Keputusan ini, yang hanya memakan waktu beberapa detik, terbukti sangat fatal. Address palsu tampak sah karena cocok dengan format terpotong yang sudah digunakan korban sebelumnya.

$50 Jutaan Rupiah Dicuri dalam Hitungan Menit

Dalam waktu 30 menit setelah serangan, USDT yang dicuri secara sistematis dikonversi dan dipindahkan untuk menyembunyikan asal-usulnya. Dana tersebut pertama kali ditukar ke DAI (yang saat ini diperdagangkan di $1.00), kemudian dikonversi menjadi sekitar 16.690 ETH (yang bernilai sekitar $3.12K per unit pada nilai tukar saat ini), dan selanjutnya dicuci melalui layanan mixing yang berfokus pada privasi untuk mencegah pelacakan.

Korban, setelah menyadari bencana ini, mengambil langkah tidak biasa dengan mengirim pesan on-chain yang menawarkan bounty $1 sejuta rupiah untuk pengembalian 98% dari dana tersebut. Hingga akhir Desember, belum ada upaya pemulihan yang berhasil.

Mengapa Serangan Ini Semakin Mengancam

Para peneliti keamanan menekankan bahwa address poisoning merupakan titik kritis di persimpangan antara tingkat kesulitan teknis yang rendah dan imbalan finansial yang tinggi. Berbeda dengan eksploitasi canggih yang membutuhkan pengetahuan coding mendalam, serangan ini memanfaatkan psikologi manusia dasar—kecenderungan kita untuk mempercayai informasi yang familiar dan mengikuti alur kerja yang efisien.

Seiring nilai cryptocurrency mencapai rekor tertinggi, insentif untuk melakukan serangan semacam ini semakin meningkat. Satu poisoning yang berhasil dapat menghasilkan kerugian jutaan, sementara hambatan teknisnya tetap sangat rendah. Pelaku hanya perlu memantau aktivitas blockchain untuk transaksi percobaan dan menghasilkan address spoof, lalu menunggu korban menyelesaikan transfer yang diinginkan.

Melindungi Diri Anda: Praktik Keamanan Esensial

Para ahli industri merekomendasikan beberapa langkah perlindungan konkret:

Selalu ambil address dari tab “Terima” di dompet. Jangan pernah menyalin address dari riwayat transaksi terakhir, apapun kepercayaannya terhadap transaksi sebelumnya.

Implementasikan whitelist address. Sebagian besar dompet modern mendukung fitur ini, memungkinkan Anda untuk menyetujui address penerima yang dipercaya sebelumnya. Ini menambah lapisan verifikasi yang mencegah transfer tidak sengaja ke akun yang tidak dikenal.

Gunakan hardware wallet dengan konfirmasi address. Perangkat cold storage yang memerlukan konfirmasi fisik tombol untuk address tujuan lengkap (yang tidak dipotong) memberikan perlindungan penting. Sebelum mengotorisasi transfer, verifikasi address lengkap di layar perangkat.

Lakukan transaksi percobaan dengan jumlah kecil. Praktik ini tetap berlaku, tetapi ikuti dengan disiplin ketat: hanya transfer jumlah besar ke address yang sudah masuk whitelist sebelumnya.

Insiden 20 Desember menjadi pengingat keras bahwa dalam dunia cryptocurrency, keamanan sering bergantung bukan pada kriptografi yang kompleks, tetapi pada pengembangan kebiasaan operasional yang disiplin. Perbedaan antara transfer yang berhasil dan yang berakibat bencana terkadang hanya bergantung pada satu pilihan sadar tentang dari mana Anda mengambil informasi address.

Seiring adopsi crypto yang semakin cepat dan dompet yang menjadi lebih canggih, standar pemotongan address dan peningkatan kesadaran keamanan antarmuka pengguna telah menjadi prioritas mendesak bagi seluruh industri.