.jpg)
Foto: Teknologi.id/ Yasmin Najla Alfarisi
Teknologi.id - Dunia kripto baru saja menyaksikan tragedi finansial yang mengerikan. Seorang investor "whale" kehilangan hampir $50 juta atau sekitar Rp 838 miliar, dalam waktu satu jam saja. Pencurian besar-besaran ini bukanlah peretasan yang sulit. Melainkan hal itu disebabkan oleh Address Poisoning, sebuah taktik penipuan yang memanfaatkan kebiasaan "copy-paste" (salin-tempel) biasa.
Insiden Transaksi Fatal: Sebuah Keamanan Palsu
Hal ini terjadi pada 20 Desember 2025, saat korban memindahkan USDT (stablecoin milik Tether) dari Binance ke dompet pribadinya. Dengan mengikuti protokol keamanan, korban awalnya mengirimkan 50 USDT sebagai "tes transaksi". Meskipun biasanya aman, namun hal ini membuka kesempatan sempurna bagi sang penyerang.
Tidak lama setelahnya, sebuah bot otomatis mendeteksi aktivitas tersebut dan membuat alamat atau tujuan dompet yang "dipalsukan". Tujuan palsu ini terlihat sangat mirip, bahkan hampir identik dengan tujuan asli milik korban, dengan lima karakter awal dan empat karakter akhir yang sama. Karena kebanyakan antarmuka (interface) dompet menyingkat tujuan dengan titik-titik (contohnya: 0x123...abc), karakter yang berada di tengah, yang mana terdapat perbedaannya, tidak dapat terlihat.
Baca juga: Jangan Sampai Tertipu! Berikut Cara Menghindari Online Scam di Musim Liburan
Bagaimana Cara "Meracuni (Poisoning)" Histori
Saat tujuan palsunya siap, si penipu akan mengirim dana dengan jumlah kecil ke dompet korban, hal ini disebut sebagai "dust transaction (transaksi debu)". Langkah licik ini menyebabkan tertukarnya alamat tujuan penipu ke atas histori transaksi korban.
Saat korban kembali 26 menit kemudian untuk melanjutkan mengirim 49.999.950 USDT-nya, korban tidak memeriksa kembali seluruh rangkaian tersebut. Tanpa berpikir panjang, korban mengizinkan transfer tersebut. Dalam waktu sekejap, total sebesar Rp838 miliar miliknya dikirim langsung ke dompet si penipu, dan menyebabkan dompet korban benar-benar kosong.
Mencuci Miliaran Uang yang Dicuri
Foto: Freepik/ jcomp
Penyerang tersebut dengan cepat memindahkan curiannya ke tempat aman. Dengan mengatahui kalau Tether dapat "membekukan" USDT yang di-blacklist, penipu menukar dananya dengan DAI lewat MetaMask. Tidak seperti USDT, DAI merupakan stablecoin terpusat yang tidak dapat dibekukan dengan mudah oleh pihak berwenang atau lembaga pemerintah manapun.
Dana yang dikonversi saat itu adalah sekitar 16.690 ETH (Ether) dan dialirkan ke dalam Tornado Cash. Layanan "pencampur (mixer)" ini mencampur transaksi dari ribuan pengguna untuk menutupi jejak digital, sehingga membuatnya hampir tidak mungkin untuk dilacak penyelidik global untuk uang curian secara efektif di seluruh jaringan blockchain.
Negoisasi Mati-Matian dan Ancaman Hukum
Dalam upaya yang penuh putus asa untuk mengembalikan jumlah besar tersebut, korban mengirimkan sebuah pesan on-chain yang menawarkan $1 juta (sekitar Rp16.7 Miliar) "hadiah sayembara (white-hat bounty)" untuk pengembalian 98% dananya. Pesan ini berisi peringatan bahwa aparat penegak hukum telah memiliki "informasi yang dapat ditindaklanjuti" mengenai identitas penyerang dan aktivitas ilegalnya.
"Ini adalah kesempatan terakhir bagi anda untuk menyelesaikan ini dengan damai," tulis korban dalam pesan tersebut. Meskipun negoisasi serupa pernah berhasil sebelumnya, langkah cekatannya untuk memindahkan dana tersebut ke Tornado Cash membuat kembalinya dana korban hampit tidak mungkin terjadi.
Baca juga: Bocor! Meta Diduga Raup Rp50 T dari Jaringan Iklan Scam China
Memahami Ancaman Address Poisoning
Address Poisoning merupakan serangan psikologis. Serangan ini memanfaatkan fakta bahwa alamat blockchain hampir mustahil untuk diingat manusia. Para ahli keamanan seperti Jamseon Lopp mengatakan bahwa serangan seperti ini menyebar dengan cepat, dengan lebih dari 48.000 kasus pada Bitcoin sendiri sejak tahun 2023.
Dengan meningkatnya pencurian kripto hingga $3.4 Miliar (sekitar Rp 56,9 triliun) di tahun 2025, para ahli menyarankan untuk:
- Jangan pernah menyalin dari histori: Selalu gunakan "buku alamat (address book)" yang tersimpan atau scan melalui kode QR.
- Periksa ulang tiap karakter: Jangan memeriksa awalan dan akhiran saja; periksa ulang karakter tengahnya juga.
- Abaikan "Dust": Perhatikan transaksi kecil yang tidak terduga dari alamat tidak dikenal yang muncul pada riwayat dompet anda.
Kehilangan ini merupakan contoh besar dari kesalahan sesederhana "copy-paste" mengarah ke kehancuran finansial. Di dunia keuangan terdesentralisasi, tidak ada layanan pelanggan yang dapat membatalkan salah klik atau memulihkan aset yang dicuri. Hal ini menjadi peringatan bagi semua orang, terutama mereka yang berinvestasi di dunia kripto.
Baca Berita dan Artikel yang lain di Google News.
(yna/sa)
