Saya baru saja melihat sebuah kasus yang mencengangkan. Setelah seorang whale mengajukan 50 juta USDT, dia dengan hati-hati mengirimkan 50 USDT ke alamat target sebagai uji coba—langkah ini cukup baik. Tapi langkah berikutnya justru bermasalah.

Penipu membalas dengan mengirim 0.005 USDT, menggunakan alamat yang sama dengan alamat target asli di awal dan akhir, dengan karakter campuran di tengahnya. Ini adalah trik lama, tapi jelas si whale tidak memperhatikannya. Dia langsung menyalin alamat yang mirip dari riwayat transaksi, dan 50 juta USDT pun hilang begitu saja.

Lebih parah lagi, penipu melakukan langkah berikutnya: mengonversi dana secara instan ke DAI untuk menghindari risiko pembekuan, lalu dengan gila-gilaan menyapu 16.624 ETH, dan akhirnya membersihkan jejak melalui protokol pencampuran privasi. Seluruh proses berjalan mulus, dan saat dia sadar, uangnya sudah hilang.

Pelajaran apa yang bisa kita ambil dari kejadian ini? Jangan pernah berpikir untuk menyalin alamat dari riwayat transaksi secara cepat. Kamu harus memeriksa alamat dompet secara lengkap, terutama bagian awal, akhir, dan bagian tengahnya. Satu huruf saja salah, harus mulai dari awal lagi. Jujur saja, apakah platform pertukaran harus menambahkan sesuatu—misalnya, muncul jendela konfirmasi kedua saat melakukan transfer besar ke alamat baru, agar pengguna bisa memeriksa lagi alamat lengkapnya? Perbaikan sederhana ini mungkin bisa mencegah banyak kesalahan tingkat rendah tapi fatal seperti ini.