#EthereumWarnsonAddressPoisoning

Insiden phishing $50M USDT yang disebabkan oleh alamat Ethereum yang mirip telah mengungkapkan masalah sistemik dalam keamanan kripto yang melampaui kesalahan pengguna sederhana: alamat dompet yang terpotong secara inheren tidak aman dalam lingkungan yang bermusuhan, dan ekosistem telah bergantung pada praktik berbahaya ini terlalu lama. Sebagian besar dompet hanya menampilkan beberapa karakter pertama dan terakhir dari suatu alamat, yang secara implisit melatih pengguna untuk menganggap bahwa memverifikasi hanya segmen yang terlihat sudah cukup. Penyerang mengeksploitasi prediktabilitas ini dengan menghasilkan alamat yang memiliki prefiks dan sufiks yang sama sementara hanya berbeda di bagian tengah yang tersembunyi, tugas yang secara komputasional murah dan sepenuhnya dapat dilakukan dalam skala besar. Setelah alamat mirip seperti itu diperkenalkan ke dalam alur kerja—baik melalui pesan yang dikompromikan, tautan phishing, riwayat transaksi yang disalin, atau daftar kontak yang dimodifikasi secara jahat—UI dompet biasanya tidak menawarkan sinyal berarti kepada pengguna bahwa tujuan tersebut salah, dan satu klik dapat secara permanen memindahkan jutaan dolar. Ini menciptakan perangkap kognitif yang berbahaya: pengguna diharapkan untuk memvalidasi string heksadesimal panjang yang tidak dapat mereka periksa secara wajar, dan antarmuka secara aktif mendorong jalan pintas yang diketahui oleh penyerang untuk dieksploitasi. Sebagian besar orang tidak memverifikasi alamat penuh bukan karena kelalaian, tetapi karena alat itu sendiri menormalkan verifikasi parsial, mengoptimalkan untuk kenyamanan, minimalisme, atau keterbacaan daripada keamanan dalam lingkungan yang bermusuhan. Mencegah insiden-insiden ini memerlukan pemikiran ulang yang mendasar tentang UX dan keamanan dompet: alamat lengkap harus terlihat secara default, alamat yang ditempel atau dipilih harus dibandingkan secara visual dengan penyorotan yang jelas untuk perbedaan, dompet harus memperingatkan pengguna ketika tujuan baru atau sangat mirip dengan alamat yang sebelumnya digunakan, dan kontak yang disimpan harus dilindungi dari modifikasi atau substitusi diam-diam. Sistem penamaan yang dapat dibaca manusia seperti ENS dapat membantu, tetapi hanya ketika nama diverifikasi melalui saluran tepercaya dan alamat yang diselesaikan ditampilkan dengan jelas bersamaan dengan nama, bukan tersembunyi di belakangnya. Sampai langkah-langkah keamanan ini diterapkan secara luas, pengguna, DAOs, dan manajer keuangan harus mengadopsi disiplin operasional yang ketat, termasuk memverifikasi seluruh alamat secara manual setidaknya sekali untuk setiap penerima baru, mengonfirmasi transfer melalui saluran komunikasi aman di luar jalur, melakukan transaksi percobaan untuk transfer bernilai tinggi, dan menegakkan kebijakan persetujuan multi-orang untuk dompet keuangan atau organisasi. Di luar langkah-langkah segera ini, insiden ini menggarisbawahi pelajaran yang lebih luas bagi ekosistem Ethereum dan kripto secara umum: keputusan UX yang memprioritaskan kenyamanan di atas keamanan dapat menciptakan vektor serangan yang dapat diprediksi, dan taruhannya sekarang cukup tinggi sehingga pilihan desain yang dulu dianggap dapat diterima kini menjadi berbahaya. Ini bukan kasus pinggiran, dan ini bukan sekadar masalah "kesalahan pengguna"; ini adalah konsekuensi yang dapat diprediksi dari pola desain yang gagal memperhitungkan penyerang yang cerdas dan termotivasi. Pelajarannya jelas dan tidak ambigu: jika alamat penuh tidak diverifikasi, transaksi tersebut tidak pernah benar-benar diverifikasi, dan ekosistem harus memperlakukan tampilan alamat dan verifikasi sebagai permukaan keamanan kritis daripada elemen UI kosmetik. Sampai dompet, sistem penamaan, dan praktik operasional selaras dengan realitas ini, serangan phishing yang mengeksploitasi alamat mirip akan tetap menjadi salah satu bentuk pencurian yang paling efisien dan menghancurkan dalam kripto, dan pengguna serta organisasi bernilai tinggi harus mengambil tanggung jawab atas praktik yang saat ini gagal ditegakkan oleh dompet.