Bahaya Kesalahan Tempel: Bagaimana Kerugian ETH sebesar $12,4 juta Terjadi dalam Hitungan Detik

Dalam salah satu kesalahan copy-paste paling mahal dalam sejarah blockchain, seorang pengguna kehilangan 4.556 ETH senilai sekitar $12,4 juta. Insiden ini menjadi pengingat yang menakutkan bahwa di jaringan terdesentralisasi, sistem tidak peduli dengan niat Anda—hanya peduli dengan alamat dompet. Ini bukan peretasan yang canggih atau eksploitasi kontrak pintar; ini adalah kesalahan manusia yang diperparah oleh penanganan alamat yang ceroboh.

Pola yang Perlu Diperhatikan: Transaksi Rutin dan Risiko Tersembunyi

Dompet korban telah membangun pola yang konsisten: setoran rutin ke Galaxy Digital menggunakan alamat deposit yang sama yang terverifikasi (0x6D90CC8Ce83B6D0ACf634ED45d4bCc37eDdD2E48). Pola ini menciptakan prediktabilitas—sesuatu yang bisa dieksploitasi oleh penyerang. Keamanan melalui pengulangan sering diasumsikan, tetapi bisa menjadi kerugian jika seseorang memantau riwayat transaksi Anda.

Skema Penyerang: Membuat Alamat Palsu yang Hampir Sempurna

Pelaku menemukan pola ini dan merancang jebakan yang rumit. Mereka membuat alamat palsu yang tampak hampir identik dengan alamat resmi Galaxy Digital: 0x6d908Bb7F81454d378194FF0E9f471334e592E48. Untuk membuat alamat mereka tampak sah, mereka menggunakan teknik yang dikenal sebagai “dust bombing”—mengirim transaksi kecil ke alamat korban untuk mengisi riwayat transaksi mereka. Transfer kecil ini, yang tampak tidak signifikan, dirancang sebagai umpan agar alamat palsu muncul dalam catatan transaksi terbaru.

Saat Semuanya Berubah: Satu Salin Tempel yang Salah

Sekitar 11 jam yang lalu, korban memulai setoran lain. Alih-alih memasukkan alamat Galaxy Digital secara manual atau memverifikasinya dengan hati-hati, mereka membuat keputusan yang menentukan: mereka menyalin alamat langsung dari riwayat transaksi mereka. Dalam sekejap, mereka memilih yang salah—alamat penyerang alih-alih alamat deposit resmi. Transaksi dikonfirmasi di blockchain yang tidak dapat diubah. 4.556 ETH hilang secara instan, langsung dipindahkan ke dompet penyerang.

Pelajaran Penting untuk Setiap Pemilik Dompet

Insiden ini menegaskan beberapa praktik keamanan penting:

Jangan pernah menempelkan alamat dari riwayat transaksi. Meskipun terlihat sebagai jalan pintas yang nyaman, riwayat transaksi dapat dimanipulasi melalui serangan dust. Sebaiknya, verifikasi alamat melalui saluran resmi—situs web bursa, API yang terverifikasi, atau bookmark terpercaya.

Selalu periksa dua kali karakter pertama dan terakhir dari setiap alamat sebelum mengonfirmasi transaksi, terutama untuk jumlah besar. Penyerang sering meniru bagian yang terlihat ini sambil mengubah bagian tengahnya.

Pertimbangkan menggunakan dompet perangkat keras dengan tampilan verifikasi alamat. Beberapa dompet perangkat keras menampilkan alamat lengkap di layar aman mereka, sehingga lebih sulit melakukan kesalahan salin-tempel.

Aktifkan fitur whitelist jika bursa atau dompet Anda mendukungnya. Ini membatasi penarikan hanya ke alamat yang sudah disetujui sebelumnya.

Keamanan blockchain yang tidak dapat diubah adalah kekuatan terbesar sekaligus hakim terkerasnya. Setelah transaksi dikirim ke alamat yang salah, tidak ada tombol undo. Kerugian sebesar $12,4 juta ini bersifat permanen. Dalam kasus ini, beberapa detik kelalaian menghabiskan jutaan—pengingat keras bahwa dalam crypto, ketelitian bukan pilihan; itu keharusan.