#EthereumSecurityAlert

$50M Kehilangan karena Pencemaran Alamat: Mengapa UX Dompet Kini Menjadi Permukaan Serangan yang Kritis
Sebuah pencurian $50 juta USDT baru-baru ini di Ethereum telah mengungkapkan ancaman yang tenang tetapi sangat skala besar yang mempengaruhi baik pengguna ritel maupun institusi: serangan racun alamat. Ini bukanlah eksploitasi kontrak pintar atau kegagalan protokol — itu adalah kelemahan UX yang dapat diprediksi yang telah dipelajari oleh para penyerang untuk diindustriasikan.
Dalam kasus ini, korban berniat untuk mengirimkan dana ke dompet yang dikenal. Tanpa mereka ketahui, seorang penyerang telah menyuntikkan alamat palsu yang mirip ke dalam riwayat transaksi mereka menggunakan transfer debu kecil. Alamat jahat tersebut memiliki karakter awal dan akhir yang sama dengan yang sah. Karena sebagian besar dompet memotong alamat secara visual, perbedaannya tetap tersembunyi.
Bergantung pada daftar "transaksi terbaru" dan format alamat yang disingkat, korban menyalin alamat yang terinfeksi dan menyetujui transfer besar-besaran. Dalam beberapa menit, hampir $50 juta telah dikirim secara tidak dapat diubah kepada penyerang.
Ini bukan kesalahan terisolasi — ini adalah kegagalan desain sistemik.
Pencemaran alamat bekerja karena dompet melatih pengguna untuk mempercayai informasi parsial. Ketika sebuah alamat ditampilkan sebagai 0xABCD…7890, pengguna secara bawah sadar hanya memvalidasi apa yang dapat mereka lihat. Penyerang memanfaatkan ini dengan menghasilkan ribuan alamat dengan awalan dan akhiran yang cocok, lalu menyebarkannya ke dalam dompet melalui transaksi berbiaya rendah. Dengan alat GPU modern, proses ini murah, cepat, dan sangat efektif.
Yang lebih mengkhawatirkan: studi tentang puluhan dompet Ethereum menunjukkan bahwa sebagian besar tidak memberikan peringatan yang berarti saat pengguna berinteraksi dengan alamat yang secara visual mirip. Tidak ada penyorotan perbedaan. Tidak ada peringatan kesamaan. Tidak ada gesekan — bahkan untuk transfer perdana atau nilai tinggi. Ini berarti bahkan operator yang berpengalaman dapat tertipu.
Dalam insiden $50M , korban mengikuti langkah pengamanan yang umum direkomendasikan: transaksi uji coba kecil. Namun tidak lama setelah itu, transfer akhir malah pergi ke alamat yang terinfeksi. Penyerang dengan cepat menukar dana, menjembatani aset, dan mengalirkannya melalui mixer — menutup jendela pemulihan dalam waktu kurang dari 30 menit.
Kesimpulannya jelas: keamanan tidak dapat lagi bergantung hanya pada kewaspadaan pengguna.
Dompet harus memperlakukan verifikasi alamat sebagai fungsi keamanan inti. Tampilan alamat penuh, alat perbandingan visual, deteksi kecocokan dekat, dan peringatan kuat untuk alamat yang tidak dikenal atau mirip harus menjadi standar. ENS dan sistem penamaan membantu, tetapi hanya ketika diselesaikan secara transparan dan diverifikasi secara independen.
Bagi trader, DAO, dan manajer kas, disiplin operasional sekarang menjadi wajib:
Jangan pernah percaya alamat dari riwayat transaksi
Selalu verifikasi alamat lengkap melalui saluran kedua
Gunakan allowlist dan persetujuan multi-sig
Pantau dompet untuk aktivitas dusting dan yang mirip
Dalam sistem yang bersifat adversarial seperti kripto, kenyamanan tanpa keamanan menjadi vektor serangan. Sampai pengalaman pengguna dompet berkembang, pencemaran alamat akan tetap menjadi salah satu eksploitasi tercepat, terbersih, dan paling menguntungkan di ekosistem.