Pengguna crypto kehilangan $50 juta setelah menyalin alamat dompet USDT palsu, menyoroti risiko serangan “Address Poisoning”.
Berita Hack Crypto
Seorang pemegang crypto kehilangan $50 juta USDT setelah menyalin alamat dompet palsu dari riwayat transaksinya. Pencurian terjadi kurang dari satu jam setelah dana tiba di dompet korban, menjadikannya salah satu skema address poisoning terbesar yang tercatat di blockchain.
Perusahaan keamanan Web3 Antivirus mengidentifikasi eksploitasi ini setelah memantau aktivitas blockchain. Korban awalnya mengirim transaksi uji $50 untuk memverifikasi alamat tujuan yang benar. Beberapa menit kemudian, penipu membuat dompet yang mencocokkan karakter pertama dan terakhir penerima yang dimaksud, memanfaatkan bagaimana sebagian besar dompet menampilkan alamat yang disingkat hanya dengan awalan dan akhiran.
Penyerang mengirim sejumlah kecil “dust” ke alamat korban, meracuni riwayat transaksi dengan dompet palsu. Korban kemudian menyalin alamat yang terlihat sah dan mentransfer $49.999.950 USDT ke dompet penipu. Bot yang melakukan transaksi dust menargetkan alamat dengan kepemilikan besar, berharap menangkap kesalahan salin-tempel.
Catatan blockchain menunjukkan dana yang dicuri ditukar menjadi Ethereum dan didistribusikan ke beberapa dompet. Beberapa alamat yang terlibat kemudian berinteraksi dengan Tornado Cash, mixer crypto yang disanksi untuk menyamarkan jejak transaksi. Teknik Address Poisoning mengeksploitasi perilaku pengguna daripada kerentanan kode, mengandalkan pencocokan sebagian alamat dan menyalin dari riwayat transaksi.
Korban mempublikasikan pesan di blockchain yang menuntut pengembalian 98% dana yang dicuri dalam 48 jam. Pesan ini menawarkan hadiah white-hat $1 juta jika dikembalikan penuh dan mengancam tindakan hukum melalui lembaga penegak internasional. Peringatan batas waktu menyatakan kegagalan untuk mematuhi akan memicu tuntutan pidana.
Eksploitasi ini menunjukkan risiko bagi pengguna crypto yang mengandalkan riwayat transaksi untuk verifikasi alamat. Address poisoning tidak membutuhkan pelanggaran teknis pada kriptografi atau smart contract. Penipuan ini sepenuhnya bergantung pada pengguna yang gagal memverifikasi alamat dompet secara lengkap sebelum melakukan transfer besar.
Para ahli keamanan mencatat transaksi dust ini sering menargetkan dompet bernilai tinggi. Penipu mengirim jumlah nominal dengan harapan penerima akan menggunakan alamat yang diracuni untuk pembayaran berikutnya. Serangan berhasil meski korban telah mengambil langkah pengamanan dengan mengirim transaksi uji terlebih dahulu.
Disclaimer: Konten ini diterjemahkan oleh AI dan mungkin mengandung kesalahan.
This article contains links to third-party websites or other content for information purposes only (“Third-Party Sites”). The Third-Party Sites are not under the control of CoinMarketCap, and CoinMarketCap is not responsible for the content of any Third-Party Site, including without limitation any link contained in a Third-Party Site, or any changes or updates to a Third-Party Site. CoinMarketCap is providing these links to you only as a convenience, and the inclusion of any link does not imply endorsement, approval or recommendation by CoinMarketCap of the site or any association with its operators. This article is intended to be used and must be used for informational purposes only. It is important to do your own research and analysis before making any material decisions related to any of the products or services described. This article is not intended as, and shall not be construed as, financial advice. The views and opinions expressed in this article are the author’s [company’s] own and do not necessarily reflect those of CoinMarketCap.
