Trader mengalami "serangan racun alamat"! Hampir 50 juta USDT diberikan secara percuma kepada peretas.

Serangan “Address Poisoning Attack” yang tampaknya sederhana namun sering berhasil belakangan ini semakin sering terjadi. Baru-baru ini, seorang trader Aset Kripto mengalami kerugian hampir 50 juta USD dalam waktu setengah jam karena terjebak dalam jebakan semacam ini. Meskipun kemudian menawarkan bounty sebesar 1 juta USD untuk meminta pengembalian aset oleh pelaku serangan, harapan untuk mendapatkan kembali aset yang dicuri yang telah masuk ke platform pencampuran koin sangat kecil.

Menurut analisis data on-chain dari platform Lookonchain, peristiwa ini terjadi pada 20 Desember, di mana korban sedang menarik aset dari Binance dan berencana untuk mentransfernya ke dompet pribadi.

Seorang korban (0xcB80) kehilangan $50M karena kesalahan alamat salin-tempel.

Sebelum mentransfer 50M $USDT, korban mengirim 50 $USDT sebagai uji coba ke alamatnya sendiri 0xbaf4b1aF…B6495F8b5.

Penipu segera menyamarkan dompet dengan 4 karakter pertama dan terakhir yang sama dan melakukan an… pic.twitter.com/eGEx2oHiwA

— Lookonchain (@lookonchain) 20 Desember 2025

Sesuai dengan kebiasaan keamanan untuk transfer besar, korban terlebih dahulu mengirim 50 koin USDT sebagai transaksi uji, untuk memastikan alamatnya benar. Namun, segera setelah transfer kecil ini selesai, skrip otomatis yang dikendalikan oleh penyerang, segera menghasilkan “Alamat Palsu (Spoofed Address)”, di mana 5 digit awal dan 4 digit akhir alamatnya sama persis dengan alamat penerimaan asli korban, hanya ada perbedaan pada karakter tengah.

Selanjutnya, penyerang sengaja menggunakan “alamat penyamaran” untuk mengirimkan beberapa transaksi kecil ke dompet korban, agar “alamat beracun” muncul dalam daftar riwayat transaksi korban. Ketika korban ingin mentransfer sisa 49.990.000 USD, demi kemudahan, mereka langsung mengklik alamat penipuan yang sangat mirip dalam catatan transaksi.

Karena sebagian besar antarmuka dompet untuk kemudahan pembacaan, akan menampilkan karakter tengah dengan “…” untuk disingkat, ini membuat dua set Alamat hampir sulit dibedakan secara visual.

Browser blockchain Etherscan menunjukkan bahwa transfer uji coba terjadi pada waktu UTC 3:06, sementara transfer yang benar-benar menyebabkan kerugian besar terjadi sekitar 26 menit kemudian pada 3:32.

Perusahaan keamanan siber SlowMist menunjukkan bahwa penyerang ini adalah seorang “ahli pencucian uang” sejati. Setelah menerima hampir 50 juta USD dalam bentuk USDT, ia hanya membutuhkan waktu kurang dari 30 menit untuk menyelesaikan langkah-langkah berikut:

• **Pertukaran kilat antar koin: ** Pertama, gunakan MetaMask Swap untuk menukar USDT menjadi DAI. Analisis para ahli menunjukkan bahwa ini adalah untuk menghindari mekanisme pembekuan daftar hitam Tether, karena stablecoin terdesentralisasi DAI tidak memiliki langkah-langkah kontrol terpusat seperti itu.
• **Pencampuran Koin: ** Penyerang segera menukar DAI menjadi sekitar 16.690 Ether, dan di antaranya 16.680 Ether ditransfer ke pencampur Tornado Cash, sepenuhnya memutus jalur pelacakan aliran koin.

Untuk memulihkan kerugian, korban telah mengajukan syarat kepada penipu melalui pesan di blockchain: bersedia membayar bounty 1 juta USD, sebagai imbalan untuk mengembalikan 98% dari aset.

Korban lebih jelas memberikan peringatan: “Kami telah secara resmi melaporkan, dan dengan bantuan lembaga penegak hukum, lembaga keamanan siber, dan beberapa protokol blockchain, kami telah mengumpulkan banyak informasi mengenai tindakan spesifik Anda.”

Kasus ini hanya merupakan puncak gunung es dari badai keamanan siber di dunia koin tahun ini. Menurut laporan terbaru dari Chainalysis, total pencurian aset kripto pada tahun 2025 telah melampaui 3,41 miliar USD, memecahkan rekor sejarah.

Perlu dicatat bahwa co-founder Casa, Jameson Lopp, memperingatkan bahwa “pencemaran alamat” telah menyebar di berbagai blockchain, dengan lebih dari 48.000 serangan serupa ditemukan hanya di jaringan Bitcoin. Dia mendesak penyedia dompet untuk mengembangkan fitur “peringatan alamat serupa” yang akan muncul sebagai peringatan ketika pengguna menyalin dan menempel, untuk mencegah terulangnya tragedi yang disebabkan oleh kelalaian manusia semacam ini.

_
Penafian: Artikel ini hanya untuk memberikan informasi pasar, semua konten dan pandangan hanya untuk referensi, tidak merupakan saran investasi, tidak mewakili pandangan dan posisi blok. Investor harus membuat keputusan dan transaksi mereka sendiri, penulis dan blok tidak akan bertanggung jawab atas kerugian langsung atau tidak langsung yang timbul dari transaksi investor.
_

Tags: alamat Aset Kripto, serangan racun, aset digital, dompet bajak laut, peretas