Seorang trader kripto dilaporkan kehilangan hampir US$50 juta atau sekitar Rp838 miliar setelah menjadi korban serangan address poisoning, sebuah metode penipuan yang memanfaatkan kemiripan alamat wallet untuk mengecoh korban saat melakukan transaksi.
Berdasarkan laporan platform analitik onchain Lookonchain, insiden ini terjadi pada Jumat (20/12/2025). Korban sebelumnya menarik dana dari Binance dan bermaksud memindahkannya ke wallet pribadinya. Sesuai prosedur umum, ia terlebih dahulu mengirim transaksi uji coba sebesar 50 USDT ke alamat tujuan. Namun, transaksi utama senilai 49.999.950 USDT justru terkirim ke alamat yang dikendalikan penipu.
Serangan Address Poisining
Serangan ini memanfaatkan teknik address poisoning, di mana pelaku menggunakan skrip otomatis untuk membuat alamat palsu yang secara visual sangat mirip dengan alamat tujuan korban. Alamat berbahaya tersebut memiliki lima karakter awal dan empat karakter akhir yang sama dengan alamat asli. Perbedaannya hanya terletak di bagian tengah, yang kerap disamarkan oleh antarmuka wallet dengan tanda elipsis.
Penipu kemudian mengirim transaksi bernilai kecil dari alamat palsu tersebut ke wallet korban. Langkah ini bertujuan “meracuni” riwayat transaksi agar alamat palsu muncul di daftar histori. Saat korban menyalin alamat dari riwayat transaksi untuk pengiriman dana utama, ia diduga tanpa sadar memilih alamat tiruan tersebut.
Data Etherscan menunjukkan transaksi uji coba dilakukan pada pukul 03.06 UTC. Sekitar 26 menit kemudian, pada pukul 03.32 UTC, korban melakukan transfer utama senilai hampir US$50 juta ke alamat yang salah.
Setelah dana berhasil dikuasai, pelaku bergerak cepat untuk mengaburkan jejak. Menurut firma keamanan blockchain SlowMist, dalam waktu kurang dari 30 menit USDT hasil curian ditukar seluruhnya menjadi DAI melalui MetaMask Swap. Langkah ini dinilai strategis karena USDT memiliki mekanisme pembekuan terpusat, sementara DAI sebagai stablecoin terdesentralisasi tidak memiliki kontrol serupa.
Dana tersebut kemudian dikonversi menjadi sekitar 16.690 ETH. Sebanyak kurang lebih 16.680 ETH selanjutnya dialirkan ke Tornado Cash, layanan crypto mixer yang digunakan untuk menyamarkan alur transaksi onchain.
Upaya Pemulihan Lewat Bounty
Dalam upaya pemulihan, korban mengirim pesan onchain kepada pelaku dengan menawarkan whitehat bounty senilai US$1 juta atau sekitar Rp16,1 miliar, dengan syarat pengembalian 98 persen dari total dana yang dicuri. Dalam pesan tersebut, korban juga menyatakan telah melaporkan kasus ini secara resmi kepada aparat penegak hukum serta bekerja sama dengan berbagai lembaga keamanan siber dan protokol blockchain untuk mengumpulkan informasi terkait aktivitas pelaku.
“Kami telah resmi melaporkan kasus pidana ini. Dengan bantuan aparat penegak hukum, lembaga keamanan siber, serta sejumlah protokol blockchain, kami telah mengumpulkan informasi yang substansial dan dapat ditindaklanjuti terkait aktivitas Anda,” tulis pesan tersebut.
Kasus ini menjadi salah satu kerugian terbesar akibat address poisoning yang pernah tercatat. Insiden tersebut mengingatkan pada peristiwa serupa pada Mei 2024, ketika seorang pengguna Ethereum kehilangan sekitar US$71 juta dalam bentuk wrapped bitcoin. Dalam kasus tersebut, sebagian besar dana akhirnya berhasil dipulihkan melalui negosiasi onchain yang difasilitasi perusahaan keamanan blockchain dan sebuah exchange kripto.
Namun, peluang pemulihan pada kasus terbaru ini dinilai lebih kecil, mengingat dana telah dialirkan ke Tornado Cash dalam waktu singkat.