Seorang pemegang cryptocurrency yang tidak disebutkan namanya baru-baru ini kehilangan lebih dari $3 juta bernilai token PYTH setelah secara keliru mentransfernya ke dompet penipu.

Kesalahan terjadi ketika korban, mengandalkan riwayat transaksi mereka, menyalin dan menggunakan alamat deposit palsu.

Biaya Tinggi dari Sebuah Kesalahan Kecil

Menurut postingan 25 November oleh analis blockchain Lookonchain, seorang penipu yang tidak dikenal membuat alamat yang empat karakter pertamanya cocok persis dengan dompet deposit korban. Mereka kemudian mengirim korban 0.000001 SOL, senilai sekitar $0.00025, yang menyebabkan akun palsu muncul di riwayat transaksi mereka.

Tanpa hati-hati, individu yang terkena dampak menyalin alamat palsu langsung dari riwayat transaksi, melihat bahwa empat karakter pertamanya cocok. Mereka kemudian mengirim 7 juta token PYTH yang bernilai sekitar $3.08 juta kepada penjahat tanpa memeriksa pengenal unik tersebut.

Para ahli keamanan menyebut serangan ini sebagai “keracunan alamat.” Mereka mengeksploitasi kebiasaan umum di antara pengguna kripto: mengandalkan riwayat transaksi untuk menyalin pengenal dompet unik daripada mengambilnya dari sumber resmi atau kontak tepercaya. Meskipun tampak nyaman, praktik ini sering kali berisiko.

Platform anti-penipuan Scam Sniffer baru-baru ini menyoroti kasus lain di mana seorang pengguna diduga kehilangan $129 juta setelah menyalin alamat yang salah dari riwayat transfer mereka. Dalam kasus itu, akun menipu memiliki enam karakter terakhir yang sama dengan yang benar.

Di banyak dompet, hanya enam karakter pertama dan enam karakter terakhir dari sebuah alamat biasanya ditampilkan, yang berarti lebih dari sekadar melihat sekilas mungkin diperlukan untuk mengonfirmasi kebenarannya. Untungnya bagi individu atau entitas tersebut, penipu mengembalikan dana yang dicuri dalam waktu satu jam.

Pada bulan Mei, seorang pengguna Ethereum kehilangan 1.155 wrapped Bitcoin (wBTC) senilai $68 juta, sementara beberapa pemilik Safe Wallet kehilangan $2 juta dari mereka menggunakan trik yang sama pada bulan Desember tahun lalu.

Memahami Keracunan Alamat

Pelaku jahat umumnya menggunakan dua metode untuk mengeksekusi keracunan alamat: transfer nilai nol dan token palsu. Dalam transfer nilai nol, penipu menggunakan kontrak token yang sebenarnya tetapi melakukan transaksi dengan nilai sangat rendah untuk menampilkan aktivitas menyesatkan dalam riwayat transaksi on-chain calon korban.

Sebaliknya, metode token palsu melibatkan pembuatan kontrak token palsu untuk meniru token nyata seperti USDT atau USDC. Para penipu kemudian mencari transaksi token asli, dan ketika mereka melihat satu, mereka mentransfer token palsu mereka ke alamat dari mana transaksi berasal. Ini memberikan kesan kepada pengguna bahwa mereka mengirim dana ke akun tertentu padahal sebenarnya tidak.

Pengguna mungkin kemudian salah mengira transfer token palsu sebagai yang nyata yang mereka lakukan ketika mereka melihat riwayat dompet mereka atau menggunakan penjelajah blockchain. Ketika ingin mengulang transaksi, mereka mungkin mengirim uang ke dompet penipu dengan tidak sengaja menyalin dan menempelkan alamat palsu.

Postingan 'Transfer Kripto Ceroboh Biayai Investor $3.08M: Rincian' pertama kali muncul di CryptoPotato.