Seorang investor aset kripto kehilangan 4.556 Ethereum, dengan nilai sekitar US$12,4 juta, setelah menjadi korban serangan “address poisoning” yang sangat canggih.
Specter, seorang analis blockchain yang dikenal dengan nama samaran, melaporkan bahwa pencurian ini terjadi sekitar 32 jam setelah pelaku “mempercikkan” wallet korban dengan transaksi nominal.
Bagaimana Alamat Palsu Mirip Asli Membuat Seorang Holder Ethereum Rugi Jutaan US$
Berdasarkan analisis on-chain dari Specter, pelaku menghabiskan dua bulan untuk memantau aktivitas transaksi korban. Selama periode ini, hacker secara khusus menemukan alamat deposit yang digunakan untuk penyelesaian OTC.
SponsoredPelaku menggunakan perangkat lunak vanity address generation untuk membuat wallet tiruan yang sangat mirip. Alamat palsu ini memiliki karakter awal dan akhir yang persis sama seperti alamat tujuan sah milik korban.
Address poisoning mengandalkan kebiasaan pengguna yang hanya memeriksa beberapa karakter pertama dan terakhir dari serangkaian angka dan huruf heksadesimal yang panjang. Dalam kasus ini, alamat palsu dan alamat OTC asli terlihat sangat mirip jika dilihat sekilas.
Pertama, pelaku mengirimkan transaksi kecil ke wallet korban, sebuah strategi agar alamat palsu muncul di riwayat aktivitas pengguna. Langkah ini membuat alamat yang sudah diubah tersebut tampil paling atas dalam daftar “transaksi terbaru”.
Berdasarkan daftar yang sudah tercemar ini, tanpa sengaja korban menyalin alamat yang sudah teracuni itu, alih-alih alamat yang sah, saat mencoba memindahkan dana senilai US$12,4 juta.
Kejadian ini menjadi kasus besar kedua pencurian dana delapan digit melalui metode yang sama dalam beberapa pekan terakhir. Bulan lalu, seorang trader kripto lainnya kehilangan sekitar US$50 juta dalam skema serupa.
Pelaku industri menilai, maraknya serangan ini terjadi karena antarmuka wallet sering memotong tampilan alamat untuk menghemat ruang pada layar. Desain seperti ini akhirnya menyembunyikan karakter tengah yang berbeda.
Di sisi lain, insiden ini menimbulkan pertanyaan serius mengenai protokol verifikasi di kalangan investor kelas institusi.
Sementara trader ritel biasanya hanya copy-paste alamat, pihak yang mengelola dana jutaan biasanya menerapkan prosedur whitelist yang ketat dan melakukan uji transaksi.
Oleh karena itu, perusahaan keamanan blockchain, Scam Sniffer, telah mengimbau investor untuk tidak lagi mengandalkan riwayat transaksi ketika melakukan pembayaran kripto secara berulang. Sebagai gantinya, mereka merekomendasikan penggunaan buku alamat yang sudah terverifikasi dan dikodekan secara manual guna mengurangi risiko pemalsuan antarmuka.
