$50M USDT Hilang karena Scam Racun Alamat di On-Chain

Sumber: CryptoTale Judul Asli: $50M USDT Hilang dalam Scam Racun Alamat On-Chain Tautan Asli: https://cryptotale.org/50m-usdt-lost-in-address-poisoning-on-chain-scam/

• Sebuah $50M USDT hilang setelah seorang pengguna menyalin alamat dompet beracun dari riwayat transaksi.
• Penipuan ini bergantung pada transfer dust dan alamat yang serupa, bukan eksploitasi protokol.
• Charles Hoskinson mengatakan model blockchain berbasis akun memungkinkan risiko racun alamat.

Seorang pengguna cryptocurrency yang tertipu dalam scam racun alamat telah kehilangan hampir $50 juta dalam USDT. Eksploitasi ini terjadi melalui serangkaian transaksi on-chain dan akhirnya ditemukan oleh perusahaan keamanan blockchain. Kasus ini menonjol karena skala kerugian dan tidak adanya pelanggaran protokol atau eksploitasi kontrak pintar yang terlibat.

Pencurian ini pertama kali terdeteksi oleh Web3 Antivirus, yang menandai perilaku transaksi yang tidak normal. Menurut data on-chain, korban secara tidak sengaja mengirim $49.999.950 USDT ke dompet hacker. Pembayaran ini didahului oleh pembayaran percobaan kecil untuk memastikan alamat tujuan. Transaksi terakhir dikirim ke dompet lain.

Hoskinson Membandingkan Rantai Berbasis Akun dengan Sistem UTXO

Insiden ini memicu komentar dari Charles Hoskinson. Dia menyatakan bahwa kerugian seperti ini sangat terkait dengan model blockchain berbasis akun. Sistem ini bergantung pada alamat yang tetap dan riwayat transaksi yang terlihat. Struktur ini memungkinkan penyerang memanipulasi apa yang dilihat pengguna saat menyalin alamat.

Hoskinson membandingkannya dengan blockchain berbasis UTXO seperti Bitcoin dan Cardano. Dalam sistem tersebut, transaksi mengkonsumsi dan membuat output yang terpisah. Dompet membangun pembayaran dari output tertentu daripada menggunakan kembali endpoint akun. Riwayat alamat yang tetap untuk racun tidak ada dalam bentuk yang sama.

Dompet korban telah aktif selama sekitar dua tahun dan terutama digunakan untuk transfer USDT. Tak lama setelah dana ditarik dari bursa utama, dompet tersebut menerima hampir $50 juta. Pengguna mengirim transaksi $50 test ke penerima yang dimaksud. Beberapa menit kemudian, saldo tersisa dipindahkan menggunakan alamat yang salah.

Para penyelidik mengatakan bahwa penipu memperkirakan perilaku ini. Setelah transfer percobaan, penyerang menghasilkan alamat dompet baru yang dirancang untuk sangat mirip dengan tujuan yang sah. Karakter pertama dan terakhir sama. Karena banyak dompet mempersingkat alamat dalam riwayat transaksi, alamat palsu ini tampak secara visual mirip dengan yang asli.

Bagaimana Racun Alamat Menggunakan Dust Transfers untuk Mencuri $50M

Untuk memperkuat penipuan, penyerang mengirim transaksi dust kecil ke dompet korban. Tindakan ini memasukkan alamat palsu ke dalam riwayat transaksi. Ketika pengguna kemudian menyalin alamat dari aktivitas sebelumnya, entri beracun tersebut terpilih. Dana kemudian langsung dipindahkan ke dompet penyerang tanpa verifikasi lebih lanjut.

Penipuan racun alamat beroperasi dalam skala besar. Bot otomatis menyebarkan transaksi dust ke dompet yang memegang saldo besar. Tujuannya adalah untuk mengeksploitasi kebiasaan salin-tempel rutin selama transfer di masa depan. Sebagian besar percobaan gagal. Namun, satu kesalahan dapat menyebabkan kerugian besar, seperti yang ditunjukkan dalam kasus ini.

Catatan blockchain menunjukkan USDT yang dicuri dengan cepat ditukar dengan Ether di jaringan Ethereum. Aset tersebut kemudian dipindahkan melalui serangkaian dompet perantara. Beberapa dari alamat ini kemudian berinteraksi dengan Tornado Cash. Mixer ini umum digunakan untuk mengaburkan jejak transaksi.

Pergerakan dana menunjukkan upaya untuk mempersulit pelacakan daripada likuidasi langsung. Tidak ada konfirmasi pemulihan aset. Penyerang belum merespons secara publik. Pemantauan terhadap alamat terkait terus dilakukan melalui analisis on-chain.

Setelah insiden, korban menulis catatan on-chain kepada penyerang. Pesan tersebut menuntut agar 98% dari dana yang dicuri dikembalikan dalam waktu 48 jam. Ia menjanjikan $1 juta sebagai bounty white-hat jika aset dikembalikan secara utuh. Komunikasi ini juga mengancam eskalasi hukum dan tuntutan pidana.

Analis keamanan menekankan bahwa ini bukan cacat protokol. Tidak ada perlindungan kriptografi yang dilanggar. Kerugian ini disebabkan oleh desain antarmuka yang dikombinasikan dengan kebiasaan pengguna umum. Penipuan racun alamat mengeksploitasi pencocokan alamat parsial dan ketergantungan pada riwayat transaksi. Dalam waktu kurang dari satu jam, faktor-faktor ini menyebabkan kerugian sebesar $50 juta.