Risiko Pemangkasan Alamat: Bagaimana Serangan Phishing sebesar 50 Juta USDT Mengungkap Kerentanan Keamanan Dompet

Dalam pengingat keras akan kerentanan keamanan cryptocurrency, Yayasan Komunitas Ethereum baru-baru ini menyoroti bahaya kritis yang mengintai dalam praktik desain dompet. Insiden kehilangan 50 juta USDT menunjukkan secara tepat mengapa pemotongan karakter alamat tidak pernah boleh ditoleransi dalam antarmuka blockchain. Ketika pengguna tidak dapat melihat informasi alamat lengkap, mereka menjadi rentan terhadap serangan spoofing canggih yang memanfaatkan kemiripan visual.

Memahami Bagaimana Pemotongan Alamat Memungkinkan Skema Phishing

Praktik mengganti bagian tengah alamat dengan titik—seperti menampilkan 0xbaf4b1aF…B6495F8b5 daripada string lengkap—menciptakan apa yang dianggap para ahli keamanan sebagai blind spot yang tidak dapat diterima. Opsi tampilan singkat ini, yang umum ditemukan di dompet dan penjelajah blockchain, memberi pengguna rasa palsu akan verifikasi sementara sebenarnya menyembunyikan informasi penting. Ketika sebagian besar alamat disembunyikan dari pandangan, membedakan antara alamat yang sah dan yang hampir identik dengan yang palsu menjadi hampir tidak mungkin bagi pengguna rata-rata.

Penyerang phishing telah menyempurnakan teknik mereka dengan secara sengaja menghasilkan alamat yang mencerminkan segmen pertama dan terakhir dari target yang sah. Mereka tahu bahwa kebanyakan pengguna hanya sekilas melihat informasi alamat parsial sebelum mengonfirmasi transaksi. Shortcut kognitif ini, dikombinasikan dengan tampilan yang dipotong, menciptakan kondisi sempurna untuk pencurian dana.

Anatomi Serangan Phishing 50 Juta USDT

Menurut laporan PANews dari 21 Desember, satu korban menjadi sasaran tepat dari kerentanan ini. Setelah menyalin apa yang mereka percayai sebagai alamat yang benar, mereka memulai transfer 50 juta USDT tanpa melakukan verifikasi menyeluruh. Korban tidak pernah menyadari bahwa mereka mengirim dana ke alamat yang dikendalikan penyerang yang meniru tiga karakter pertama dan tiga karakter terakhir dari penerima yang dimaksud. Tampilan alamat yang tidak lengkap membuat bagian tengah—di mana terdapat perbedaan penting—sepenuhnya tersembunyi.

Insiden ini jauh lebih dari sekadar kehilangan satu kali; ini mengungkap kekurangan desain sistemik dalam infrastruktur cryptocurrency yang digunakan oleh jutaan pengguna setiap hari.

Tanggapan Industri: Mengapa Tampilan Alamat Penuh Tidak Bisa Ditawar

Respons dari Yayasan Komunitas Ethereum tegas: pemotongan alamat harus dihentikan segera. Pernyataan mereka menegaskan bahwa menampilkan informasi alamat secara lengkap bukanlah pilihan—itu adalah keharusan. Yayasan mengidentifikasi bahwa implementasi UI saat ini di berbagai dompet dan penjelajah blockchain mengandung kerentanan keamanan yang sepenuhnya dapat dicegah dengan pilihan desain yang tepat.

Ke depan, yayasan mendesak pengembang dompet dan penjelajah blockchain untuk memprioritaskan visibilitas alamat lengkap daripada estetika antarmuka. Pengguna berhak mendapatkan alat dan informasi yang diperlukan untuk memverifikasi transaksi secara akurat. Setiap keputusan desain yang memprioritaskan kekompakan dengan mengorbankan keamanan harus dipertimbangkan kembali. Jalan untuk melindungi pengguna cryptocurrency dimulai dengan perubahan mendasar dalam cara alamat ditampilkan—dan itu dimulai dengan meninggalkan pemotongan sama sekali.