Seorang investor Ethereum telah mengalami kesalahan mahal setelah secara tidak sengaja mengirim lebih dari $12 juta kripto ke dompet penipuan, menyoroti risiko yang semakin besar dari apa yang disebut penipuan "pemrosesan alamat" di blockchain publik.
Poin penting
Seorang investor Ethereum kehilangan 4.556 sETH, senilai sekitar $12,4 juta, akibat penipuan pemrosesan alamat.
Para penyerang menggunakan dompet palsu dengan karakter pertama dan terakhir yang cocok untuk meniru alamat setoran Galaxy Digital.
Menyalin alamat dari riwayat transaksi tetap menjadi salah satu risiko keamanan terbesar dalam transfer kripto.
Menurut perusahaan analitik blockchain Lookonchain, korban kehilangan 4,556 sETH - yang bernilai sekitar $12,4 juta pada saat itu - setelah menyalin alamat dompet yang salah saat mencoba mentransfer dana ke Galaxy Digital.
Bagaimana penipuan ini berkembang
Investor tersebut adalah pengguna yang sering dari alamat deposit Galaxy Digital dan sebelumnya telah mengirimkan dana ke sana beberapa kali tanpa masalah. Penyerang memanfaatkan perilaku ini dengan menghasilkan alamat 'racun' jahat yang dirancang untuk sangat mirip dengan dompet deposit nyata Galaxy Digital. Alamat palsu tersebut memiliki empat karakter pertama dan terakhir yang sama, menjadikannya terlihat meyakinkan sekilas.
Untuk menjebak, penyerang secara berulang mengirimkan transaksi 'debu' kecil ke dompet korban. Transaksi ini muncul di riwayat akun bersama dengan transfer yang sah ke Galaxy Digital. Ketika investor kemudian melakukan setoran besar, mereka menyalin alamat langsung dari riwayat transaksi mereka, tanpa sadar memilih alamat tiruan penyerang daripada yang sebenarnya.
Dalam hitungan detik, dana tersebut telah ditransfer secara permanen ke dompet penipuan.
Mengapa pemrosesan alamat sangat berbahaya
Pemrosesan alamat mengeksploitasi kebiasaan umum di antara pengguna crypto: menyalin alamat yang sebelumnya digunakan dari riwayat transaksi untuk kenyamanan. Karena alamat blockchain panjang dan tidak dapat dibaca, banyak pengguna hanya memverifikasi beberapa karakter pertama dan terakhir, yang merupakan hal yang diandalkan oleh penyerang.
Setelah transaksi dikonfirmasi di jaringan Ethereum, transaksi tersebut tidak dapat dibatalkan, bahkan jika tujuannya jelas merupakan penipuan. Dalam kasus ini, penyerang berhasil pergi dengan jutaan dalam satu transfer.
Pengingat mahal bagi investor crypto
Insiden ini berfungsi sebagai peringatan lain bahwa bahkan investor yang berpengalaman pun rentan terhadap kesalahan operasional yang sederhana. Seiring dengan meningkatnya nilai crypto, penipuan pemrosesan alamat telah menjadi lebih sering, menargetkan dompet yang dikenal menangani jumlah besar.
Para ahli keamanan secara konsisten menyarankan pengguna untuk memutihkan alamat yang terverifikasi, memeriksa ulang string dompet secara penuh, dan menghindari menyalin alamat dari riwayat transaksi.