Cú Lừa 24 Triệu USD Mengungkap Perangkap Rumit dalam Sejarah Perdagangan

Pasar crypto baru saja mencatat kejadian kehilangan uang yang mengejutkan. Sekitar 24 juta USD stablecoin hilang dari sebuah dompet yang terkait dengan KOL crypto Sillytuna, setelah korban terjebak dalam perangkap “racun alamat” — sebuah trik penipuan yang tampaknya sederhana tetapi semakin efektif dalam ekosistem DeFi.

Menurut penyelidikan dari perusahaan keamanan blockchain PeckShield, alamat dompet 0xd2e8…ca41 telah ditarik sekitar 24 juta USD aEthUSDC setelah sebuah transaksi yang dilakukan secara keliru dikirim ke alamat penyerang. Yang menarik adalah transaksi ini bukan sebuah peretasan yang rumit, melainkan berasal dari kesalahan yang sangat ceroboh yaitu menyalin alamat dompet secara salah.

Address poisoning tidak memanfaatkan celah keamanan blockchain, melainkan menyerang kebiasaan manusia. Penyerang akan membuat sebuah alamat dompet dengan rangkaian karakter yang mirip di awal dan akhir dengan alamat asli korban. Setelah itu, mereka mengirim transaksi bernilai sangat kecil ke dompet target. Transaksi ini membuat alamat palsu muncul dalam riwayat transaksi korban. Masalah muncul saat pengguna perlu mengirim uang berikutnya. Alih-alih menyalin alamat dari sumber terpercaya, banyak orang sering menyalin cepat dari riwayat transaksi, di mana alamat palsu sudah disisipkan secara diam-diam. Hanya dengan satu kesalahan, seluruh aset bisa langsung dipindahkan ke dompet hacker. Dalam kasus Sillytuna, kesalahan tersebut bernilai hingga 24 juta USD.

Analisis on-chain menunjukkan bahwa hacker belum segera mencuci uang. Sekitar 20 juta USD DAI masih berada di dua dompet perantara yang dikendalikan oleh penyerang. Belum dipindahkannya uang ke mixer atau layanan anonimitas menunjukkan bahwa hacker mungkin sedang membagi-bagi aliran dana sebelum menyebarkannya ke chain lain.

Sebagian kecil aset telah mulai dipindahkan ke layer-2 Arbitrum, tindakan yang biasanya dilakukan sebelum uang disebar melalui protokol DeFi, DEX, atau cross-chain bridge untuk mengaburkan jejak.

Korban menawarkan hadiah 10% dari jumlah yang berhasil dipulihkan kepada siapa saja atau platform yang membantu melacak dan mengembalikan aset. Bahkan, tawaran ini diperluas kepada mereka yang pernah terlibat dalam kejadian tersebut, selama mereka membantu mengembalikan uang yang dicuri.

Dalam beberapa tahun terakhir, kasus racun alamat meningkat pesat karena memiliki 3 karakteristik yang disukai hacker: biaya sangat rendah, sulit dideteksi karena alamat palsu sangat mirip dengan alamat asli, dan tingkat keberhasilannya tinggi, terutama dengan pengguna yang sering bertransaksi. Bahkan trader berpengalaman pun bisa terjebak seperti korban dalam artikel ini.

Akhir tahun lalu juga mencatat kejadian serupa yang mengguncang. Seorang pengguna kehilangan hampir 50 juta USDT setelah secara keliru mengirim aset ke alamat dompet penipu. Insiden ini dianggap sebagai salah satu penipuan on-chain terbesar yang pernah tercatat.

Menghadapi perkembangan peretasan yang tidak pasti, para ahli keamanan menyarankan pengguna untuk tidak pernah menyalin alamat dompet dari riwayat transaksi, selalu memeriksa seluruh alamat dompet bukan hanya beberapa karakter awal dan akhir, menggunakan whitelist address saat mentransfer jumlah besar, dan memeriksa kembali transaksi di dompet keras atau memastikan semua parameter benar sebelum menyelesaikan transaksi.