Pengguna Kirim $50 Juta USDT ke Dompet Palsu dalam Insiden Penipuan Salin-Tempel
TLDR
- Korban kehilangan $50 juta USDT setelah menyalin alamat penipuan dari riwayat transaksi.
- Penipu menggunakan transaksi “dust” untuk menyisipkan alamat palsu yang mirip.
- Dana yang dicuri dikonversi ke ETH dan disalurkan melalui Tornado Cash.
- Korban menawarkan hadiah $1 juta dan diberi waktu 48 jam sebelum tindakan hukum.
Dalam salah satu penipuan kripto individu terbesar yang dilaporkan tahun ini, seorang pengguna kehilangan $50 juta USDT melalui taktik penipuan yang dikenal sebagai “address poisoning” (keracunan alamat). Insiden ini menyoroti meningkatnya risiko yang dihadapi pemegang mata uang kripto, terutama mereka yang mengandalkan riwayat transaksi saat mengirim dana. Karena penipu terus mengeksploitasi pola perilaku daripada kerentanan teknis, pentingnya kehati-hatian dalam mengelola aset digital menjadi semakin krusial.
Alamat Palsu Menyebabkan Kerugian Besar di Blockchain
Seorang investor kripto mentransfer hampir $50 juta USDT kepada penipu setelah tanpa sadar menyalin alamat palsu yang telah disisipkan ke riwayat transaksinya. Perusahaan Web3 Antivirus mengidentifikasi insiden tersebut, yang dimulai dengan transfer uji standar $50 yang dimaksudkan untuk memverifikasi alamat tujuan sebelum transaksi yang lebih besar.
Penipu dengan cepat membuat alamat dompet yang sangat mirip dengan alamat penerima asli. Dengan meniru karakter pertama dan terakhir, alamat tersebut tampak sah di antarmuka dompet, yang biasanya mempersingkat alamat panjang untuk ditampilkan. Penyerang kemudian mengirim transaksi “dust” (transaksi kecil) ke korban, menempatkan alamat palsu tersebut di log aktivitas terbaru mereka.
Pengguna menyalin alamat dari riwayat yang telah dirusak ini dan mengirim $49.999.950 USDT ke dompet penyerang. Metode penipuan ini mengandalkan eksploitasi kepercayaan pada tampilan alamat yang disingkat dan kebiasaan salin-tempel sehari-hari.
Dana Dicuci Melalui Mixer Setelah Eksploitasi
Data blockchain menunjukkan bahwa USDT yang dicuri dengan cepat ditukar dengan Ether dan didistribusikan ke beberapa dompet. Beberapa alamat yang terkait dengan penipuan tersebut kemudian berinteraksi dengan Tornado Cash, sebuah mixer kripto yang berfokus pada privasi yang telah disanksi di berbagai yurisdiksi. Alat ini memungkinkan pengguna untuk menyembunyikan asal dan tujuan aset digital, sehingga mempersulit upaya untuk melacak atau memulihkan dana.
Penipuan address poisoning tidak mengkompromikan kode smart contract atau infrastruktur Blockchain. Sebaliknya, mereka menargetkan elemen manusia dalam transaksi kripto. Dengan membanjiri dompet dengan transaksi kecil yang menyesatkan, penipu meningkatkan peluang alamat palsu disalin secara tidak sengaja dalam transfer bernilai tinggi.
Serangan-serangan ini sering melibatkan bot otomatis yang memantau aktivitas blockchain untuk target potensial, terutama dompet dengan saldo signifikan atau pergerakan yang sering. Setelah diidentifikasi, bot mengirimkan alamat yang mirip melalui transfer kecil dengan harapan dapat mengejutkan pengguna.
Korban Merespons dengan Ancaman Hukum dan Tawaran Hadiah
Korban penipuan menerbitkan pesan di blockchain yang menawarkan hadiah $1 juta untuk “white-hat” sebagai imbalan atas pengembalian 98% dana. Pesan tersebut mencakup batas waktu 48 jam dan memperingatkan konsekuensi hukum jika penyerang gagal mengembalikan dana dalam jangka waktu tersebut.
“Ini adalah kesempatan terakhir Anda untuk menyelesaikan masalah ini secara damai,” demikian bunyi pesan tersebut. Pengirim memperingatkan bahwa kegagalan untuk mematuhi akan mengakibatkan keterlibatan dengan penegak hukum internasional.
Kasus ini telah menarik perhatian lebih lanjut terhadap risiko keamanan yang terkait dengan self-custody (penyimpanan mandiri) dan penanganan transaksi manual. Para ahli menyarankan pengguna untuk menghindari mengandalkan riwayat transaksi untuk penggunaan kembali alamat, menerapkan whitelisting alamat jika memungkinkan, dan memverifikasi alamat dompet lengkap sebelum mengirim dana dalam jumlah besar.