Seorang investor kripto kehilangan dana sebesar $2,6 juta dalam bentuk stablecoin setelah menjadi korban dari dua serangan phishing bertipe “zero transfer” atau transfer nol, hanya dalam kurun waktu tiga jam. Kasus ini menjadi peringatan serius bagi komunitas kripto global mengenai metode baru penipuan berbasis alamat dompet (address poisoning) yang semakin canggih.
Kronologi dan Modus Kejahatan
Menurut laporan dari firma keamanan blockchain dan kepatuhan Cyvers, serangan pertama terjadi saat korban secara tidak sadar mengirimkan 843.000 USDT ke alamat penyerang. Selang beberapa jam kemudian, korban kembali mentransfer 1,75 juta USDT ke alamat yang sama. Total kerugian pun mencapai sekitar $2,6 juta.
Jenis serangan yang digunakan disebut sebagai phishing transfer nol, yakni ketika pelaku mengirimkan transaksi senilai nol dari dompet korban ke alamat palsu yang tampilannya sangat mirip dengan alamat sah yang biasa digunakan korban. Karena jumlah transfer adalah nol, transaksi tersebut tidak memerlukan tanda tangan digital dari korban dan tetap tercatat di blockchain.
Tujuan dari metode ini adalah menciptakan ilusi bahwa alamat tersebut pernah digunakan sebelumnya, sehingga ketika korban hendak melakukan transfer berikutnya dan menyalin alamat dari riwayat transaksi atau clipboard, mereka tanpa sadar justru mengirim dana ke dompet milik penyerang.
Evolusi Taktik Address Poisoning
Transfer nol merupakan bentuk lanjutan dari taktik address poisoning yang sebelumnya hanya melibatkan pengiriman sejumlah kecil token dari dompet yang alamatnya didesain mirip dengan dompet korban—biasanya dengan beberapa karakter awal dan akhir yang identik. Harapannya, pengguna tidak akan menyadari perbedaan alamat secara keseluruhan dan melakukan kesalahan saat menyalin.
Dengan menggabungkan transfer nol dan tampilan alamat yang hampir identik, pelaku mampu menciptakan jebakan yang sangat meyakinkan bagi pengguna yang kurang waspada atau tergesa-gesa saat bertransaksi.
Skala Ancaman: Ribuan Kasus, Puluhan Juta Dolar Rugi
Laporan sebelumnya yang diterbitkan pada Januari 2025 mengungkapkan bahwa terdapat lebih dari 270 juta upaya address poisoning yang terjadi di jaringan BNB Chain dan Ethereum dalam periode 1 Juli 2022 hingga 30 Juni 2024. Dari jumlah tersebut, 6.000 serangan dinyatakan berhasil, dengan total kerugian melebihi $83 juta.
Insiden-insiden ini mencerminkan tren meningkatnya aktivitas kejahatan siber di sektor keuangan terdesentralisasi, khususnya yang menyasar pengguna individu.
Upaya Deteksi dan Pencegahan
Sebagai respons atas meningkatnya kasus ini, perusahaan keamanan siber kripto Trugard dan protokol keamanan Webacy telah meluncurkan sistem berbasis kecerdasan buatan (AI) yang dirancang untuk mendeteksi aktivitas address poisoning. Berdasarkan pengujian internal terhadap kasus-kasus yang telah diketahui, alat ini diklaim memiliki tingkat keberhasilan deteksi hingga 97%.
Para pengguna dompet kripto juga disarankan untuk tidak hanya mengandalkan riwayat transaksi atau clipboard saat melakukan pengiriman aset digital. Verifikasi alamat secara menyeluruh, penggunaan whitelist alamat terpercaya, serta pengaktifan fitur keamanan tambahan seperti peringatan transfer dan autentikasi ganda menjadi langkah penting untuk menghindari penipuan.
Kasus terbaru ini menjadi pengingat bahwa meskipun teknologi blockchain menjanjikan transparansi dan keamanan, pengguna tetap harus proaktif dan waspada dalam melindungi aset mereka dari metode penipuan yang terus berkembang. Kombinasi edukasi pengguna, sistem perlindungan berbasis AI, dan kebijakan keamanan dompet pribadi sangat penting untuk menciptakan ekosistem kripto yang lebih aman.
