Media90 – Dunia kripto kembali diguncang insiden pencurian berskala besar. Seorang investor kelas kakap atau whale dilaporkan kehilangan hampir 50 juta dolar AS, setara Rp838 miliar, hanya dalam waktu kurang dari satu jam. Bukan akibat peretasan sistem yang rumit, kerugian fantastis ini justru dipicu oleh address poisoning, modus penipuan yang mengeksploitasi kebiasaan sederhana pengguna saat melakukan copy-paste alamat dompet.
Transaksi yang Berujung Fatal
Peristiwa ini terjadi pada 20 Desember 2025, ketika korban memindahkan aset USDT (stablecoin milik Tether) dari Binance ke dompet pribadinya. Mengikuti prosedur keamanan umum, korban terlebih dahulu mengirim 50 USDT sebagai transaksi uji coba.
Langkah yang biasanya aman tersebut justru membuka celah bagi pelaku. Tak lama setelah transaksi kecil itu dilakukan, sebuah bot otomatis mendeteksi aktivitas korban dan segera membuat alamat dompet palsu yang sangat mirip dengan alamat tujuan asli. Alamat tiruan tersebut memiliki lima karakter awal dan empat karakter akhir yang identik, sehingga nyaris tak bisa dibedakan secara kasat mata.
Masalah kian diperparah oleh tampilan antarmuka dompet kripto yang umumnya menyingkat alamat panjang menjadi format seperti 0x123…abc, membuat perbedaan karakter di bagian tengah sama sekali tak terlihat.
Modus “Meracuni” Riwayat Transaksi
Setelah alamat palsu siap, pelaku mengirim dana dalam jumlah sangat kecil ke dompet korban, praktik yang dikenal sebagai dust transaction. Tujuannya adalah “meracuni” riwayat transaksi, sehingga alamat milik penipu muncul di bagian atas histori dompet korban.
Sebanyak 26 menit kemudian, korban kembali melanjutkan transaksi utama senilai 49.999.950 USDT. Tanpa memeriksa ulang seluruh karakter alamat tujuan, korban langsung mengonfirmasi transfer. Dalam hitungan detik, dana senilai Rp838 miliar berpindah ke dompet penipu, meninggalkan dompet korban dalam kondisi kosong.
Dana Dicuci Lewat Mixer Kripto
Penyerang bergerak cepat mengamankan hasil curian. Menyadari bahwa USDT dapat dibekukan oleh Tether jika masuk daftar hitam, pelaku segera menukarnya ke DAI melalui MetaMask. Berbeda dengan USDT, DAI lebih sulit dibekukan oleh otoritas.
Dana tersebut kemudian dikonversi menjadi sekitar 16.690 ETH dan dialirkan ke Tornado Cash, layanan crypto mixer yang mencampur transaksi ribuan pengguna untuk menyamarkan jejak aset digital. Proses ini membuat pelacakan dana curian nyaris mustahil dilakukan oleh penegak hukum di jaringan blockchain global.
Upaya Negosiasi yang Berujung Buntu
Dalam upaya terakhir yang penuh keputusasaan, korban mengirim pesan on-chain kepada pelaku. Ia menawarkan imbalan 1 juta dolar AS (sekitar Rp16,7 miliar) sebagai white-hat bounty dengan syarat pengembalian 98 persen dana yang dicuri.
Pesan tersebut juga disertai ancaman bahwa aparat penegak hukum telah mengantongi informasi yang dapat ditindaklanjuti terkait identitas dan aktivitas ilegal pelaku. “Ini adalah kesempatan terakhir untuk menyelesaikan masalah ini secara damai,” tulis korban.
Namun, langkah cepat pelaku memindahkan dana ke Tornado Cash membuat peluang pengembalian aset hampir mustahil.
Address Poisoning, Ancaman yang Kian Marak
Address poisoning merupakan bentuk serangan psikologis yang memanfaatkan fakta bahwa alamat blockchain sangat panjang dan sulit diingat manusia. Pakar keamanan kripto, Jameson Lopp, mencatat lebih dari 48.000 kasus serupa di jaringan Bitcoin sejak 2023.
Dengan total kerugian akibat pencurian kripto yang diperkirakan mencapai 3,4 miliar dolar AS atau sekitar Rp56,9 triliun sepanjang 2025, para ahli keamanan mengimbau pengguna untuk meningkatkan kewaspadaan.
Beberapa langkah pencegahan yang disarankan antara lain:
-
Jangan menyalin alamat dari riwayat transaksi, gunakan buku alamat atau pemindaian QR.
-
Periksa seluruh karakter alamat, bukan hanya awalan dan akhiran.
-
Waspadai transaksi kecil tak dikenal (dust transaction) yang tiba-tiba muncul di dompet.
Kasus ini menjadi pengingat keras bahwa di dunia keuangan terdesentralisasi, satu kesalahan sederhana seperti copy-paste bisa berujung pada kehancuran finansial. Tidak ada layanan pelanggan, tidak ada pembatalan transaksi, dan tidak ada jaminan pemulihan aset yang sudah hilang. Bagi investor kripto, kewaspadaan tetap menjadi pertahanan utama.
