Serangan Siber Mencuri Jutaan Hanya dengan Satu Klik

window.litespeed_ui_events=window.litespeed_ui_events||["mouseover","click","keydown","wheel","touchmove","touchstart"];var urlCreator=window.URL||window.webkitURL;function litespeed_load_delayed_js_force(){console.log("[LiteSpeed] Start Load JS Delayed"),litespeed_ui_events.forEach(e=>{window.removeEventListener(e,litespeed_load_delayed_js_force,{passive:!0})}),document.querySelectorAll("iframe[data-litespeed-src]").forEach(e=>{e.setAttribute("src",e.getAttribute("data-litespeed-src"))}),"loading"==document.readyState?window.addEventListener("DOMContentLoaded",litespeed_load_delayed_js):litespeed_load_delayed_js()}litespeed_ui_events.forEach(e=>{window.addEventListener(e,litespeed_load_delayed_js_force,{passive:!0})});async function litespeed_load_delayed_js(){let t=[];for(var d in document.querySelectorAll('script[type="litespeed/javascript"]').forEach(e=>{t.push(e)}),t)await new Promise(e=>litespeed_load_one(t[d],e));document.dispatchEvent(new Event("DOMContentLiteSpeedLoaded")),window.dispatchEvent(new Event("DOMContentLiteSpeedLoaded"))}function litespeed_load_one(t,e){console.log("[LiteSpeed] Load ",t);var d=document.createElement("script");d.addEventListener("load",e),d.addEventListener("error",e),t.getAttributeNames().forEach(e=>{"type"!=e&&d.setAttribute("data-src"==e?"src":e,t.getAttribute(e))});let a=!(d.type="text/javascript");!d.src&&t.textContent&&(d.src=litespeed_inline2src(t.textContent),a=!0),t.after(d),t.remove(),a&&e()}function litespeed_inline2src(t){try{var d=urlCreator.createObjectURL(new Blob([t.replace(/^(?: )?$/gm,"$1")],{type:"text/javascript"}))}catch(e){d="data:text/javascript;base64,"+btoa(t.replace(/^(?: )?$/gm,"$1"))}return d} var litespeed_vary=document.cookie.replace(/(?:(?:^|.*;\s*)_lscache_vary\s*\=\s*([^;]*).*$)|^.*$/,"");litespeed_vary||fetch("/wp-content/plugins/litespeed-cache/guest.vary.php",{method:"POST",cache:"no-cache",redirect:"follow"}).then(e=>e.json()).then(e=>{console.log(e),e.hasOwnProperty("reload")&&"yes"==e.reload&&(sessionStorage.setItem("litespeed_docref",document.referrer),window.location.reload(!0))});

Bagaimana Serangan Address Poisoning Terjadi

Inti dari insiden ini adalah sebuah dompet yang telah aktif hampir dua tahun dan terutama digunakan untuk transfer USDT. Setelah menarik dana dari Binance, pengguna menerima sekitar $50 juta USDT. Mengira ini adalah metode yang aman, pengguna terlebih dahulu melakukan transfer uji coba dalam jumlah kecil. Beberapa menit kemudian, transfer utama dilakukan, namun tanpa disadari, pengguna menggunakan alamat yang salah.

Sebelum sampai pada titik ini, pelaku penipuan sudah menyiapkan serangan “address poisoning.” Sebuah dompet yang sangat mirip dengan alamat yang sering digunakan korban telah dibuat, dan sejumlah kecil USDT dikirimkan ke sana, menambah riwayat transaksi. Karena alamat di antarmuka dompet muncul sebagai rangkaian panjang dan rumit, pengguna tanpa sengaja menyalin alamat palsu ini dari riwayat transaksi saat ingin mentransfer dana, sehingga hampir $50 juta berpindah ke dompet pelaku hanya dengan satu klik.

Kontroversi Model UTXO dan Perspektif Charles Hoskinson

Charles Hoskinson, pendiri Cardano, turut berkomentar mengenai insiden ini, dengan berargumen bahwa kerugian seperti ini jauh lebih sulit terjadi pada arsitektur blockchain tertentu. Ia menyoroti bahwa model berbasis akun yang digunakan oleh Ethereum dan jaringan berbasis EVM secara struktural memungkinkan terjadinya penipuan seperti address poisoning. Dalam model ini, alamat disimpan sebagai akun permanen, dan dompet sering meminta pengguna untuk menyalin alamat dari transaksi sebelumnya, kebiasaan yang dimanfaatkan oleh pelaku penipuan.

Menurut Hoskinson, jaringan yang menggunakan model UTXO, seperti Bitcoin dan Cardano, lebih tangguh dalam aspek ini. Dalam model UTXO, setiap transaksi menghasilkan output baru sambil mengonsumsi output lama, sehingga menghilangkan konsep “saldo akun” permanen. Akibatnya, tidak ada riwayat alamat yang terus-menerus yang dapat diracuni secara visual. Ia menekankan bahwa insiden ini bukanlah cacat protokol atau kesalahan smart contract, melainkan interaksi berbahaya antara desain dan perilaku manusia.

Risiko serupa juga telah disorot oleh laporan lain baru-baru ini. Dalam beberapa minggu terakhir, penyedia dompet utama merilis pembaruan keamanan untuk memperingatkan pengguna terhadap kebiasaan menyalin alamat dan memperbarui layar verifikasi alamat mereka. Perkembangan ini menegaskan pentingnya desain dompet di samping kehati-hatian individu.