Semua artikel
keamanan dompetpenipuanUSDT

Penipuan Address Poisoning: Kenapa Menyalin Alamat yang Salah dari Riwayat Sendiri Bisa Menghabiskan Semua Uang Anda

Panduan jelas tentang penipuan address poisoning di dunia kripto: bagaimana pelaku menanam alamat palsu di riwayat transaksi Anda, kenapa trik ini bisa mengecoh bahkan pengguna yang teliti, dan bedanya dengan pembajakan clipboard.

Tim Paperino5 mnt baca

Bayangkan begini: Anda pernah mengirim USDT ke teman atau ke platform terpercaya, lalu untuk menghemat waktu saat mengirim pembayaran baru, Anda menyalin alamat langsung dari riwayat transaksi. Terasa seperti jalan pintas yang aman-aman saja — dan itulah tepatnya yang diandalkan para penipu dalam address poisoning di kripto. Idenya sederhana tapi mengerikan: pelaku menanam alamat palsu di dalam riwayat Anda sendiri, sehingga Andalah yang akhirnya menyalin alamat itu.

Di artikel ini kita akan membahas langkah demi langkah bagaimana "peracunan riwayat transaksi" ini bekerja, kenapa hanya mengecek beberapa karakter awal dan akhir tidak pernah cukup, dan cara membedakannya dari serangan lain yang sering tertukar: pembajakan clipboard.

Apa itu address poisoning?

Address poisoning adalah teknik penipuan yang memanfaatkan kebiasaan hampir semua orang: menggunakan kembali alamat dengan menyalinnya dari riwayat, bukannya mengetik ulang atau memeriksanya setiap kali.

Alamat dompet di jaringan seperti TRC20 dan BEP20 panjang dan rumit, jadi tidak ada yang menghafalnya. Karena itu orang biasanya hanya melihat 4-5 karakter awal dan 4-5 karakter akhir, lalu menganggap alamat itu benar kalau kedua ujungnya cocok. Pelaku sangat memahami kebiasaan ini, dan seluruh serangannya dibangun di atasnya.

Bagaimana cara kerja serangan peracunan riwayat transaksi?

Jenis serangan ini tidak perlu meretas perangkat Anda atau memasang malware apa pun. Semua yang dilakukan pelaku terjadi langsung di blockchain, secara terbuka:

  1. Mengawasi: Pelaku memantau dompet-dompet aktif dan mengidentifikasi alamat yang sering berinteraksi dengannya (misalnya alamat tempat Anda rutin melakukan deposit).
  2. Membuat alamat serupa: Dengan alat "alamat khusus" (Vanity Address), pelaku membuat alamat yang awalan dan akhirannya sama persis dengan alamat yang Anda percayai, sementara bagian tengahnya sama sekali berbeda.
  3. Menyuntikkan transaksi palsu: Dari alamat serupa ini, pelaku mengirim transaksi bernilai nol — atau jumlah yang sangat kecil, disebut "dust" — ke dompet Anda.
  4. Peracunan: Transaksi ini kini muncul di riwayat Anda, membuat alamat palsu terlihat seolah-olah alamat yang pernah benar-benar Anda gunakan.
  5. Jebakan: Di lain waktu, karena kebiasaan, Anda menyalin alamat dari riwayat — dan mengirim dana Anda langsung ke penipu, bukan ke tujuan yang sebenarnya.

Transaksi beracun itu sendiri tidak menarik dana Anda atau membobol dompet Anda. Semua bahaya justru terjadi pada saat Anda sendiri menyalin alamat yang salah dan mengirim dana ke sana. Inilah yang membuatnya sulit dideteksi: semuanya terlihat normal sampai semuanya terlambat.

Bedanya dengan pembajakan clipboard (Clipboard Hijacking)

Banyak orang mengira address poisoning sama dengan malware pembajak clipboard, padahal keduanya adalah serangan yang sama sekali berbeda — baik cara kerja maupun titik bahayanya. (Pembajakan clipboard punya artikel tersendiri.)

AspekPeracunan riwayat transaksiPembajakan clipboard
Terjadi di mana?Di blockchain publikDi dalam perangkat Anda yang terinfeksi malware
Perlu meretas perangkat Anda?TidakYa
Bagaimana alamat salah sampai ke Anda?Anda sendiri menyalinnya dari riwayat yang sudah teracuniMalware mengganti apa yang Anda salin tepat saat Anda tempel
Kapan bahaya muncul?Saat Anda menggunakan kembali alamat lama dari riwayatSetiap kali menyalin dan menempel alamat
Perlindungan utamaJangan menyalin dari riwayat, periksa alamat secara utuhAntivirus yang bersih dan pengecekan setelah menempel

Kesimpulannya: pada address poisoning, jaringan "bersih" dan perangkat Anda baik-baik saja — kebiasaan Anda adalah celahnya. Pada pembajakan clipboard, perangkat Anda sendiri yang terinfeksi.

Aturan emas: periksa alamat secara utuh

Kesalahan paling berbahaya yang bisa Anda lakukan adalah puas hanya dengan mencocokkan beberapa karakter awal dan akhir. Pelaku memang merancang alamatnya khusus agar cocok di kedua ujung itu.

  • Bandingkan seluruh alamat, bukan hanya awal dan akhirnya. Perbedaan selalu ada di bagian tengah.
  • Periksa juga potongan di tengah, misalnya karakter ke-10 sampai ke-20.
  • Semakin besar jumlahnya, semakin besar pula kehati-hatian yang diperlukan — periksa ulang sekali lagi sebelum mengonfirmasi.

Tips praktis: simpan alamat yang sering Anda gunakan di buku alamat terpercaya (Address Book / whitelist) di dalam dompet Anda, dan selalu kirim dari daftar tersimpan ini, bukan dari riwayat transaksi.

Cara melindungi diri secara praktis

  1. Jangan pernah menyalin alamat dari riwayat transaksi. Inilah pintu masuk utama serangan ini.
  2. Gunakan buku alamat terpercaya untuk setiap pihak yang sering Anda ajak bertransaksi, dan beri label yang jelas.
  3. Kirim dulu transaksi uji dalam jumlah kecil saat berurusan dengan sebuah alamat untuk pertama kalinya atau setelah lama tidak digunakan, dan pastikan dana itu sampai sebelum mengirim jumlah penuh.
  4. Waspadai transaksi "dust" yang aneh, bernilai nol atau sangat kecil, dari alamat yang tidak Anda kenal; abaikan dan jangan berinteraksi dengannya.
  5. Pastikan jaringan yang benar (TRC20 atau BEP20), selain alamatnya sendiri — alamat yang benar di jaringan yang salah juga bisa membuat dana hilang.
  6. Gunakan pemindai kode QR resmi dari aplikasi atau platform terpercaya, bukan menyalin manual, kapan pun tersedia.

Transfer kripto bersifat final dan tidak bisa dibatalkan. Begitu dana Anda sampai ke alamat penipu, tidak ada pihak mana pun yang bisa mengembalikannya. Satu menit tambahan yang Anda habiskan untuk memeriksa alamat secara utuh bisa menyelamatkan seluruh saldo Anda dari kehilangan total.

Kesimpulan

Address poisoning adalah serangan yang cerdik karena tidak menyerang teknologinya, melainkan menyerang kepercayaan Anda pada riwayat sendiri dan kebiasaan menyalin dengan cepat. Tidak ada malware, tidak ada peretasan; hanya alamat serupa yang ditanam di riwayat Anda, menunggu saat Anda sedang terburu-buru.

Senjata terkuat Anda sederhana: berhenti menyalin dari riwayat, andalkan buku alamat terpercaya, dan periksa alamat secara utuh setiap kali. Di dunia kripto, kehati-hatian sesaat jauh lebih murah daripada penyesalan yang berkepanjangan.

Konten ini hanya untuk tujuan edukasi dan kesadaran, dan bukan merupakan nasihat finansial, hukum, atau keamanan yang menyeluruh. Andalah satu-satunya pihak yang bertanggung jawab untuk melindungi dompet Anda dan memeriksa setiap transaksi sebelum mengonfirmasinya.

Siap menyeberang?

Daftar, ambil bebek pertamamu, dan mulai kumpulkan USDT.

Mulai

Artikel terkait

Keberuntungan berpihak pada yang berani. Beranikan diri menyeberang — hadiahnya nyata.