ASIAWORLDVIEW – Seorang pedagang kripto kehilangan hampir USD50 juta dalam USDT setelah menjadi korban penipuan “address poisoning”, sebuah teknik yang memanfaatkan riwayat transaksi daripada celah dalam kontrak pintar. Perusahaan keamanan blockchain mengatakan insiden ini menyoroti bagaimana kebiasaan rutin dalam penggunaan dompet kripto dapat membuat pengguna rentan terhadap kerugian besar.
Dalam posting di X, firma analitik on-chain Lookonchain melaporkan bahwa korban mentransfer 49.999.950 USDT ke dompet yang dikendalikan penyerang pada 20 Desember. Dana tersebut baru saja ditarik dari Binance dan dimaksudkan untuk alamat dompet trader. Namun, dana tersebut dialihkan ke alamat yang secara visual mirip yang dibuat oleh penyerang.
Insiden ini dimulai dengan transaksi uji coba. Trader mengirim transaksi uji coba sebesar 50 USDT untuk memverifikasi alamat tujuan. Tak lama setelah itu, skrip otomatis menghasilkan dompet palsu yang dirancang untuk menyerupai alamat asli. Langkah ini menandai awal dari penipuan address poisoning.
Baca Juga: Pencurian Digital Terbesar dalam Sejarah: Hacker Curi USD140 Juta, Dikonversi ke Aset Kripto
Alamat palsu tersebut memiliki karakter pembuka dan penutup yang sama dengan dompet yang dimaksud, dengan perbedaan hanya pada bagian tengah string. Banyak antarmuka dompet memendekkan karakter tengah ini, sehingga mengurangi visibilitasnya selama pemeriksaan rutin.
Dengan memanfaatkan perilaku tampilan ini, penyerang mengirimkan transaksi kecil dari alamat palsu ke dompet korban. Hal ini menyisipkan alamat palsu ke dalam riwayat transaksi, sehingga tampak sah selama transfer berikutnya.
Ketika pedagang menyalin alamat dari riwayatnya untuk menyelesaikan transfer penuh, alamat palsu kemungkinan dipilih secara tidak sengaja. Data Etherscan menunjukkan pembayaran uji coba dikirim pada pukul 3:06 UTC. Transaksi salah senilai $50 juta mengikuti sekitar 26 menit kemudian, pada pukul 3:32 UTC.
Perusahaan keamanan blockchain SlowMist melaporkan bahwa penyerang bertindak cepat untuk meminimalkan risiko pemulihan. Dalam 30 menit, $50 USDT ditukar menjadi DAI melalui MetaMask Swap. Keputusan ini strategis karena Tether dapat membekukan USDT jika terkait dengan aktivitas ilegal, tetapi DAI tidak memiliki pembekuan terpusat.
DAI kemudian dikonversi oleh penyerang menjadi sekitar 16.690 ETH. Sekitar 16.680 ETH disetorkan ke Tornado Cash. Mixer ini merupakan upaya untuk menyamarkan jejak transaksi, langkah biasa setelah skema penipuan alamat.
Saat transaksi dieksekusi, korban mengirim pesan on-chain kepada penyerang dengan imbalan $1 juta. Tawaran tersebut meminta pengembalian 98% dari uang yang dicuri. Hingga kini, belum ada pengakuan atau tanggapan publik. Perusahaan keamanan tetap memantau skema pencemaran alamat secara aktif.
Menurut Chainalysis, insiden ini berkontribusi pada peningkatan pencurian kripto sepanjang tahun. Kerugian akibat peretasan kripto pada 2025 melebihi USD3,4 miliar, lebih tinggi dari tahun sebelumnya. Salah satunya, serangan pada Bybit pada Februari oleh aktor yang terkait dengan Korea Utara, mencapai sekitar USD1,4 miliar dan menjadi pencurian kripto terbesar sepanjang sejarah.
