Bagaimana trader kripto kehilangan 50 juta USDT: pelajaran tentang serangan phishing alamat

Pada bulan Desember, seorang trader kripto menghadapi salah satu kerugian terbesar dalam kariernya — hampir 50 juta dolar AS hilang dalam satu transaksi. Ini bukan hasil dari peretasan rumit atau eksploitasi di smart contract, melainkan skema canggih yang memanfaatkan kebiasaan pengguna dan batasan minimal antarmuka dompet.

Asal Usul Serangan: Operasi Uji Coba sebagai Awal Rangkaian Kejadian

Kisah ini dimulai dengan tampak biasa: trader kripto mencoba mentransfer dana dari bursa ke dompet pribadi demi keamanan. Awalnya dia melakukan operasi uji coba sebesar 50 USDT untuk memastikan semua pengaturan benar. Praktik yang tampaknya hati-hati ini sebenarnya menjadi pemicu bagi pelaku kejahatan.

Peneliti on-chain Specter menggambarkan kelanjutan kejadian: begitu melihat alamat pengirim, penjahat mulai bertindak dengan presisi matematis. Dia langsung menghasilkan alamat baru yang cocok dengan empat karakter pertama dan empat karakter terakhir dari dompet asli yang sah. Sekilas, alamat ini benar-benar sama.

Mengapa Praktik Menyalin Alamat Biasa Menjadi Kerentanan

Sebagian besar blockchain explorer dan dompet modern mempersingkat alamat panjang demi kenyamanan, menampilkan hanya awal dan akhir dengan tiga titik di tengah (misalnya, 0xBAF4…F8B5). Ini berarti bahwa alamat palsu tampak sama persis dengan yang asli di layar pengguna.

Setelah pelaku mengirim sejumlah kecil dari alamat palsu ke korban, dia “menyemprotkan” riwayat transaksi ke alamat tersebut. Ketika trader memutuskan menyelesaikan transfer utama sisa dana — 49.999.950 USDT — dia mengikuti praktik umum: menyalin alamat penerima langsung dari riwayat transaksi terbaru. Logis, nyaman, alami. Dan sangat berbahaya dalam konteks ini.

Jalur Dana Beracun: Dari Stablecoin ke Anonimitas

Dalam waktu 30 menit setelah serangan berhasil, terjadi proses “pencucian” dana secara intensif. Hampir 50 juta USDT ditukar ke beberapa stablecoin alternatif, termasuk DAI. Kemudian sebagian besar dikonversi menjadi sekitar 16.690 ETH. Transaksi terakhir mengirim aset ini melalui Tornado Cash — layanan mixing yang menyediakan anonimitas di blockchain.

Bagi trader yang menjadi korban, ini adalah bencana. Menyadari apa yang terjadi, dia mengirim pesan on-chain kepada penjahat, menawarkan 1 juta dolar AS sebagai “reward” legal untuk pengembalian 98% dari dana yang dicuri. Pada hari berikutnya, aset tersebut tetap berada di tangan pelaku.

Penilaian Ahli: Kesederhanaan sebagai Faktor Terpenting Serangan

Dalam komentarnya, Specter menyatakan frustrasi atas betapa mudahnya kejadian ini terjadi. “Itulah sebabnya saya tidak punya kata-kata, karena jumlah sebesar ini hilang karena kesalahan manusia yang sederhana. Semua ini bisa dihindari jika hanya beberapa detik menyalin dan menempel alamat dari sumber yang benar, bukan dari riwayat,” kata peneliti tersebut dalam tanggapannya kepada ZachXBT.

Pengamatan ini menunjukkan masalah kritis dalam keamanan dunia kripto: serangan paling efektif seringkali tidak memanfaatkan kerentanan teknologi, melainkan kelemahan psikologis manusia dan desain antarmuka pengguna.

Bagaimana Trader Kripto Bisa Melindungi Diri dari Skema Serupa

Para ahli keamanan menyarankan beberapa langkah praktis bagi semua yang bekerja dengan cryptocurrency:

1. Selalu salin alamat dari sumber resmi: daripada menyalin dari riwayat transaksi, dapatkan alamat langsung dari tab “Terima” di dompet Anda. Ini adalah opsi paling aman.

2. Gunakan whitelist untuk alamat terpercaya: hampir semua dompet modern mendukung fitur menambahkan alamat terpercaya ke daftar. Ini mencegah kesalahan saat memasukkan secara manual dan melakukan verifikasi otomatis.

3. Pertimbangkan hardware wallet: perangkat yang memerlukan konfirmasi fisik lengkap alamat penerima sebelum menandatangani transaksi, memberikan lapisan perlindungan tambahan. Mereka memaksa pengguna melihat seluruh alamat sebelum menyetujui.

4. Lakukan operasi uji coba untuk jumlah besar: selalu kirimkan dulu sejumlah kecil untuk memastikan alamat benar. Tapi ingat — setelah transaksi pertama, riwayatnya bisa “teracuni”.

Trader kripto harus memahami bahwa di dunia di mana satu kesalahan bisa menghabiskan puluhan juta dolar, kehati-hatian terkecil sekalipun bisa menyelamatkan modal. Kisah trader ini menjadi pengingat keras bahwa keamanan di dunia kripto tidak bergantung pada solusi teknologi rumit, melainkan pada disiplin mengikuti aturan sederhana.