Modus Address Posioning Sedot Rp 838 Miliar, Kenali Agar Rekening Aman
Jakarta, CNBC Indonesia - Seorang pengguna kripto dilaporkan kehilangan dana hingga US$50 juta atau setara Rp 838 miliar setelah terjebak dalam modus penipuan address poisoning, salah satu skema kejahatan on-chain yang kini makin marak di industri aset digital.
Insiden ini pertama kali terungkap oleh perusahaan keamanan Web3, Web3 Antivirus. Dalam kasus tersebut, korban sempat melakukan transaksi uji coba senilai US$50 untuk memastikan alamat dompet tujuan sudah benar. Namun, langkah kehati-hatian itu justru dimanfaatkan oleh pelaku.
Tak lama setelah transaksi uji coba dilakukan, penipu membuat alamat dompet palsu yang sangat mirip dengan alamat tujuan asli. Pelaku menyamakan karakter awal dan akhir alamat, memanfaatkan kebiasaan sebagian besar dompet kripto yang hanya menampilkan potongan alamat berupa awalan dan akhiran.
Pelaku kemudian mengirimkan sejumlah kecil dana atau yang dikenal sebagai transaksi "dust" ke dompet korban. Tujuannya adalah meracuni riwayat transaksi, sehingga korban mengira alamat tersebut merupakan alamat tujuan yang sah.
Tanpa melakukan verifikasi ulang secara menyeluruh, korban menyalin alamat dari riwayat transaksi dan akhirnya mengirim US$49.999.950 USDT langsung ke dompet milik pelaku.
Praktik pengiriman transaksi dust ini kerap menyasar dompet dengan saldo besar. Bot otomatis biasanya menyebarkan transaksi kecil ke banyak alamat sekaligus, dengan harapan ada pengguna yang lengah dan melakukan kesalahan saat menyalin alamat, seperti yang terjadi dalam kasus ini.
Data blockchain menunjukkan dana hasil pencurian tersebut kemudian ditukar ke Ether (ETH) dan dipindahkan ke berbagai dompet berbeda. Sejumlah alamat diketahui berinteraksi dengan Tornado Cash, layanan pencampur kripto yang telah dikenai sanksi, untuk mengaburkan jejak transaksi.
Merespons kejadian tersebut, korban mengirimkan pesan langsung di blockchain yang menuntut pengembalian 98% dari dana yang dicuri dalam waktu 48 jam. Korban juga menawarkan imbalan US$1 juta sebagai bounty white-hat apabila seluruh aset dikembalikan.
Pesan tersebut disertai ancaman akan langkah hukum dan pidana, termasuk pelibatan aparat penegak hukum internasional apabila tuntutan tidak dipenuhi.
"Ini adalah kesempatan terakhir untuk menyelesaikan masalah ini secara damai," tulis korban dalam pesan tersebut.
Sebagai catatan, address poisoning bukanlah serangan yang mengeksploitasi celah pada kode atau kriptografi blockchain. Modus ini justru memanfaatkan kebiasaan pengguna, khususnya ketergantungan pada pencocokan alamat serta praktik menyalin alamat dari riwayat transaksi.
Para ahli keamanan mencatat transaksi dust ini sering menargetkan dompet bernilai tinggi. Penipu mengirim jumlah nominal dengan harapan penerima akan menggunakan alamat tersebut untuk pembayaran berikutnya. Serangan berhasil meski korban telah mengambil langkah pengamanan dengan mengirim transaksi uji terlebih dahulu.
(dem/dem)[Gambas:Video CNBC]