Sebuah insiden address poisoning pada bulan Januari menyebabkan kerugian sekitar US$12,2 juta setelah seorang pengguna menyalin alamat palsu yang mirip dari riwayat transaksi mereka.
Kasus ini terjadi setelah insiden besar lainnya pada bulan Desember, di mana taktik serupa menyebabkan pencurian sekitar US$50 juta.
Sudah saatnya kita hentikan masalah ini, bukan?
Trust Wallet nampaknya sependapat. Perusahaan merilis fitur baru bernama Address Poisoning Protection, yang dirancang untuk mendeteksi salah satu penipuan social engineering paling umum di aset kripto sebelum transaksi dikirim.
Mari kita bahas lebih lanjut soal fitur ini.
Penipuan yang Tidak Mencuri Kunci Anda
Address poisoning itu serangan yang sederhana, tapi efektif.
Penyerang mengirim transaksi berdana sangat kecil ke sebuah wallet dari alamat yang hampir mirip dengan alamat yang pernah digunakan korban. Alamat palsu itu lalu muncul di riwayat transaksi pengguna.
Kemudian, ketika pengguna ingin mengirim dana lagi dan menyalin alamat tujuan dari riwayat atau clipboard, mereka bisa saja tidak sengaja memilih alamat milik penyerang, bukan alamat yang benar.
Alih-alih memakai malware atau phishing untuk mencuri private key, serangan ini sepenuhnya mengandalkan pada kemiripan visual dan kebiasaan rutin pengguna.
Mendeteksi Alamat Mirip Sebelum Dana Dikirim
Fitur perlindungan baru Trust Wallet menyasar momen saat pengguna memasukkan atau menempelkan alamat tujuan.
Ketika sebuah alamat disalin ke kolom pengiriman, wallet secara real-time memeriksa pola poisoning yang diketahui dan alamat mirip yang mencurigakan. Jika sistem mendeteksi alamat yang sangat mirip dengan yang pernah digunakan pengguna, wallet akan memberi peringatan.
Fitur ini juga akan menampilkan perbandingan berdampingan antara alamat-alamat tersebut, dan menyoroti perbedaan karakter. Dengan begitu, pengguna bisa memastikan sendiri apakah alamat tujuan tersebut benar sebelum menandatangani transaksi.
Pengecekan ini berjalan otomatis di berbagai chain yang didukung dan langsung terintegrasi ke alur pengiriman normal. Jadi, pengguna tidak perlu mengaktifkan pengaturan keamanan tambahan secara manual.
Melangkah Lebih Jauh dari Daftar Scam yang Statis
Banyak wallet memang sudah mengandalkan daftar hitam alamat berbahaya yang dikenal. Tantangannya adalah serangan poisoning biasanya menggunakan alamat baru yang belum terdeteksi.
Trust Wallet memakai pendekatan dengan menggunakan feed intelijen real-time, bukan hanya mengacu pada database statis. Sistem ini menggabungkan data keamanan dari HashDit dan Binance Security, ditambah alat monitoring internal Trust Wallet sendiri.
Pendekatan ini memungkinkan wallet mendeteksi pola yang mengindikasikan upaya peniruan, bukan sekadar memblokir alamat yang sudah pernah dilaporkan.
Perlindungan ini akan aktif sebelum transaksi ditandatangani, yang sangat penting karena transfer di blockchain tidak bisa dibatalkan setelah dikonfirmasi.
Tambahan Kekuatan untuk Trust Wallet
Address Poisoning Protection memperluas kerangka keamanan yang Trust Wallet bangun selama beberapa tahun terakhir.
Pada tahun 2023, perusahaan ini meluncurkan Security Scanner, fitur yang bertujuan menganalisis transaksi sebelum disetujui. Alat ini memeriksa payload transaksi, mengidentifikasi kontrak phishing, decentralized application jahat, persetujuan token mencurigakan, dan aktivitas berisiko tinggi lainnya.
Sejak diluncurkan, Security Scanner telah membantu mencegah kerugian besar. Trust Wallet menyebutkan bahwa sistem ini sudah mencegah lebih dari US$458 juta masuk ke kontrak berbahaya, membantu memulihkan lebih dari US$2 juta dari dana yang dicuri, dan memblokir transaksi menuju penipuan senilai US$191 juta hanya pada tahun 2025.
Fitur perlindungan address poisoning ini menyasar tahap proses transaksi yang berbeda.
Security Scanner berfokus pada apa yang ditandatangani oleh pengguna dengan menganalisis payload transaksi untuk mendeteksi perilaku berbahaya. Address Poisoning Protection memusatkan perhatian pada siapa tujuan dana, mengidentifikasi peniruan sebelum transaksi dibuat.
Kedua sistem ini bersama-sama membentuk model pertahanan berlapis yang dirancang menangkal eksploitasi teknis maupun penipuan yang menyasar kebiasaan manusia.
Melindungi Pengguna dari Serangan yang Paling Sederhana
Banyak serangan paling sukses kini tidak lagi fokus mengeksploitasi smart contract atau memecahkan kriptografi. Sebaliknya, serangan menyerang kebiasaan pengguna.
Address poisoning masuk dalam kategori ini. Ia memanfaatkan kebiasaan rutin seperti menyalin alamat dari riwayat transaksi atau mengira deretan karakter yang tampak familier sudah pasti benar.
Alat yang mampu mendeteksi pola seperti ini lebih awal berpotensi mencegah semakin banyak kerugian.
Pembaruan terbaru Trust Wallet mencerminkan perubahan prioritas keamanan ini. Kini, perlindungan pengguna juga mencakup deteksi tipuan kecil yang digunakan penyerang untuk mengeksploitasi kebiasaan sehari-hari pengguna wallet.
