Pelajaran $50M : Bagaimana Eksploitasi Perilaku Pengguna Melalui Pencemaran Alamat Crypto Daripada Teknologi

Insiden terbaru yang menunjukkan pencurian USDT senilai $50 juta telah mengungkap kerentanan kritis dalam cara pengguna kripto berinteraksi dengan blockchain—bukan melalui eksploitasi kode, tetapi melalui rekayasa sosial yang elegan. Serangan ini, yang disebut “address poisoning,” mengungkapkan bahwa dalam transaksi cryptocurrency, kerentanan paling berbahaya tidak selalu terletak pada blockchain itu sendiri, tetapi pada kebiasaan manusia.

Peneliti keamanan Web3 mendokumentasikan bagaimana seorang trader menjadi korban skema ini setelah mengikuti praktik yang dianggap bijaksana oleh kebanyakan orang: melakukan transaksi percobaan sebelum memindahkan jumlah besar. Pendekatan yang tampaknya aman ini secara tidak sengaja membuka celah yang dibutuhkan penyerang.

Bagaimana Address Poisoning Memanfaatkan Alur Kerja Pengguna Crypto

Berbeda dengan serangan yang menargetkan kerusakan smart contract atau pencurian kunci pribadi, address poisoning beroperasi sepenuhnya dalam proses pengambilan keputusan pengguna. Mekanismenya sangat sederhana tetapi sangat efektif.

Ketika korban mengirim transaksi percobaan sebesar 50 USDT, penyerang langsung membuat dompet palsu yang meniru alamat penerima yang sah—terutama mencocokkan karakter prefix dan suffix yang terlihat. Karena sebagian besar dompet crypto menampilkan alamat dalam bentuk terpotong, kemiripan ini cukup untuk menipu.

Kemudian, penyerang melakukan langkah penting kedua: mengirim transfer kecil dust (token minimal) dari alamat palsu ke dompet korban. Transaksi ini dirancang secara strategis untuk mencemari riwayat transaksi pengguna.

Ketika korban kemudian menyiapkan transfer utama sebesar 49.999.950 USDT, mereka membuat keputusan kritis: alih-alih memasukkan alamat secara manual, mereka menyalin langsung dari riwayat transaksi terbaru mereka. Dalam memilih dari riwayat tersebut, mereka tanpa sadar mengklik alamat yang mirip dengan penyerang dan mengirim seluruh saldo ke akun penipuan.

Di Mana Verifikasi Alamat Crypto Gagal

Serangan ini berhasil karena validasi alamat dalam crypto memiliki batasan manusia yang mendasar. Kebanyakan pengguna tidak mampu memverifikasi alamat Ethereum sepanjang 42 karakter atau identifikasi blockchain serupa secara karakter-per-karakter. Sebagai gantinya, trader mengandalkan shortcut yang terlihat: memeriksa beberapa karakter pertama dan terakhir, atau mempercayai riwayat transaksi sebagai sumber validasi.

Address poisoning memanfaatkan shortcut kognitif ini. Karakter pertama dan terakhir disalin, membuat inspeksi visual menjadi tidak dapat diandalkan. Riwayat transaksi tampak sebagai sumber yang otoritatif—lagipula, berasal dari dompet Anda sendiri—namun menjadi vektor untuk pengiriman serangan.

Sistem otomatis terus memantau blockchain, mengidentifikasi dompet yang memegang saldo besar, lalu mengirim transaksi dust secara massal. Penyerang menunggu dengan sabar sampai satu pengguna melakukan kesalahan yang mengarah ke transfer yang katastrofik.

Melacak Crypto yang Dicuri Melalui Layanan Mixing

Analisis on-chain mengungkap dampak pencurian: USDT langsung ditukar ke Ethereum (ETH), dibagi ke beberapa dompet perantara, dan sebagian dialihkan melalui Tornado Cash—layanan mixing yang dirancang untuk menyembunyikan asal-usul transaksi.

Obfuscation multi-tahap ini secara signifikan mengurangi kemungkinan pemulihan dan menciptakan kompleksitas hukum. Setiap lompatan melalui alamat perantara dan protokol mixing memperbesar kesulitan melacak atau memulihkan dana yang dicuri.

Meningkatkan Keamanan Alamat Crypto Anda

Mencegah address poisoning memerlukan praktik disiplin yang belum diinternalisasi oleh kebanyakan pengguna:

Hindari menyalin alamat dari riwayat transaksi: Selalu masukkan ulang secara manual atau gunakan buku alamat. Riwayat transaksi tidak boleh menjadi sumber utama alamat Anda.

Verifikasi seluruh alamat crypto: Shortcut visual gagal. Jika memungkinkan, verifikasi melalui saluran independen—pesan langsung dengan penerima, dokumentasi resmi, atau penjelajah blockchain terpisah dari antarmuka dompet Anda.

Implementasikan whitelist alamat: Banyak platform memungkinkan Anda memelihara daftar alamat yang disetujui. Gunakan fitur ini secara ketat untuk transfer bernilai tinggi.

Anggap transfer dust yang tidak diminta sebagai sinyal peringatan: Jika Anda menerima transfer token kecil yang tidak dikenal, selidiki sebelum menggunakan alamat tersebut untuk transaksi besar. Bisa jadi itu adalah tahap pengintaian address poisoning.

Gunakan hardware wallet dengan verifikasi tampilan: Beberapa hardware wallet memungkinkan verifikasi alamat sebelum menandatangani transaksi, menambah satu titik pemeriksaan lagi.

Pelajaran Dasar untuk Keamanan Aset Crypto

Insiden ini menegaskan sebuah kebenaran yang tidak nyaman: dalam cryptocurrency, serangan yang canggih sering berhasil bukan karena merusak kriptografi, tetapi karena mengakali operator manusia yang mengendalikan kunci. Protokol keamanan terkuat pun tidak berarti apa-apa jika pengguna secara konsisten membuat pilihan perilaku yang sama seperti yang diperkirakan penyerang.

Satu klik ceroboh di ekosistem crypto dapat mentransfer jutaan secara instan dan tidak dapat dibatalkan. Address poisoning berhasil karena tidak memerlukan keahlian hacking—hanya kesabaran dan pemahaman tentang bagaimana pengguna crypto biasanya memverifikasi transaksi. Sampai trader menyadari bahwa validasi alamat memerlukan ketekunan aktif dan bukan kepercayaan pasif terhadap indikator visual atau riwayat transaksi, serangan ini akan tetap efektif dan mahal.