Pencemaran alamat sedang mengubah risiko dalam dompet kripto dengan mengalihkan fokus dari kunci pribadi ke bagaimana pengguna berinteraksi dengan antarmuka. Alih-alih merusak enkripsi, penyerang memanfaatkan kebiasaan manusia dan kekurangan desain untuk mengarahkan dana secara salah. Pada tahun 2025, seorang korban kehilangan sekitar 50 juta dolar dalam USDt milik Tether setelah menyalin alamat yang tercemar. Pada Februari 2026, sebuah kampanye phishing yang terkait dengan Phantom Chat menguras sekitar 3,5 Wrapped Bitcoin (wBTC) senilai lebih dari 264.000 dolar. Peristiwa ini menegaskan bagaimana petunjuk UI kecil—tombol salin, riwayat transaksi yang terlihat, dan transfer dust—dapat memikat pengguna untuk mengulangi pola yang dipercaya dan menyerahkan aset yang mereka kira akan dikirim ke kontak yang sah.
Poin utama
Pencemaran alamat beroperasi berdasarkan perilaku pengguna dan petunjuk UI, bukan pencurian kunci pribadi atau kerentanan kode.
Dua kerugian profil tinggi menggambarkan skala: kerugian 50 juta dolar pada 2025 dan insiden Februari 2026 yang melibatkan sekitar 3,5 Wrapped Bitcoin (wBTC) senilai lebih dari 264.000 dolar.
Tombol salin, riwayat transaksi yang terlihat, dan transfer dust yang tidak difilter dapat membuat alamat tercemar tampak sah dalam antarmuka dompet.
Karena blockchain bersifat permissionless, penyerang dapat mengirim token ke alamat mana pun, dan banyak dompet menampilkan semua aktivitas masuk, termasuk spam, yang dapat menanamkan kepercayaan pada entri palsu.
Mitigasi bergantung pada UX yang lebih baik dan pengaman: verifikasi alamat secara eksplisit, penyaringan dust, peringatan proaktif, dan pemeriksaan alamat penerima saat proses pengiriman.
Ticker yang disebutkan: $USDT, $WBTC
Sentimen: Netral
Konteks pasar: Kasus-kasus ini menegaskan tantangan keamanan berbasis UX yang terus berlangsung di pasar di mana aktivitas on-chain sangat transparan dan penyerang semakin menargetkan alur kerja pengguna sehari-hari. Seiring dengan meningkatnya stabilcoin dan aset tokenisasi, desain dompet dan visibilitas on-chain akan menjadi pusat pengelolaan risiko, bersama dengan edukasi tradisional dan langkah-langkah melawan phishing.
Mengapa ini penting
Inti dari pencemaran alamat terletak pada kesalahan manusia yang dapat diulang dan terjadi saat pengguna mengelola transfer kripto. Kunci pribadi tetap aman dalam skenario ini; kerentanannya muncul saat penerima atau pengirim mengandalkan fragmen alamat parsial atau pola transaksi yang dikenal. Rantai serangan biasanya dimulai dengan penyerang menemukan dompet bernilai tinggi melalui data on-chain yang dapat diakses publik, lalu membuat alamat yang mirip dengan penerima yang sering digunakan, mencocokkan beberapa karakter awal dan akhir untuk memaksimalkan pengenalan visual. Mereka kemudian memulai transfer kecil atau nol nilai dari alamat palsu tersebut untuk menanamkan keabsahan dan muncul di riwayat aktivitas penerima. Selanjutnya, penyerang menunggu pengguna menyalin alamat dari riwayat tersebut dan secara tidak sengaja menempelkannya ke transfer baru, mengirim dana ke tujuan yang salah. Tidak adanya pelanggaran kriptografi menyoroti sebuah kebenaran mendasar: model keamanan blockchain publik sangat bergantung pada penilaian pengguna sama seperti kriptografi.
Keputusan desain UX memperbesar risiko. Banyak dompet menyediakan tombol salin satu klik di samping transaksi terakhir, sebuah kemudahan yang bisa berbalik jika spam atau entri dust muncul dalam daftar yang sama. Penyelidik telah lama mencatat bahwa korban sering “percaya” pada riwayat transaksi mereka sendiri, menganggapnya sebagai tanda keabsahan. Dalam kasus seperti kerugian USDt 2025 dan insiden wBTC 2026, biaya dari shortcut kognitif ini menjadi sangat jelas. Pelajaran utama adalah bahwa antarmuka pengguna—cara alamat ditampilkan, diverifikasi, dan dikonfirmasi—memainkan peran penting dalam hasil keamanan, kadang lebih dari pengelolaan kunci saja.
Suara industri telah mendesak dompet untuk mengadopsi perlindungan yang lebih kuat. Pemimpin teknologi, termasuk Changpeng “CZ” Zhao, secara terbuka menyerukan perlindungan yang lebih baik untuk membendung pencemaran alamat, menandai potensi pergeseran dalam tata kelola dompet menuju verifikasi penerima yang lebih ketat dan fitur anti-pencemaran. Ketegangan ini nyata: pengembang harus menyeimbangkan UX yang lancar dengan pemeriksaan keamanan yang kokoh, memastikan pengguna dapat bertransaksi secara efisien tanpa menjadi korban alamat palsu atau transfer dust yang mencurigakan. Sementara itu, tanggung jawab tetap di tangan pengguna untuk memverifikasi tujuan di luar petunjuk sekilas dan mengadopsi praktik pengiriman yang disiplin.
Intinya, risiko bukan tentang merusak kriptografi tetapi tentang merusak kebiasaan pengguna di saat-saat yang penuh gesekan—memasukkan alamat panjang, menyetujui izin, dan bertindak berdasarkan informasi yang tidak lengkap. Sifat blockchain yang terbuka dan permissionless membuat setiap alamat dapat diakses, dan keterbacaan transaksi sering tertinggal di belakang kompleksitas string yang mewakili kunci dan alamat. Hasilnya adalah ritme keamanan di mana penyerang bergantung pada dinamika sosial dan UX, bukan mengelak dari penghalang kriptografi.
Apa yang sebenarnya terlibat dalam pencemaran alamat
Skema penipuan pencemaran alamat bergantung pada memanipulasi riwayat transaksi korban untuk mengarahkan dana secara salah, bukan merusak kunci atau mengeksploitasi kerentanan perangkat lunak. Pola umum berlangsung sebagai berikut:
Penyerang pertama-tama mengidentifikasi dompet bernilai tinggi menggunakan data on-chain yang dapat diakses publik.
Mereka membuat alamat yang mirip dengan penerima yang sering digunakan korban, mencocokkan beberapa karakter awal dan akhir untuk memaksimalkan pengenalan visual.
Mereka memulai transfer kecil atau nol nilai dari alamat palsu tersebut untuk menanamkan keabsahan dan muncul di riwayat aktivitas penerima.
Penyerang kemudian mengandalkan korban menyalin alamat dari daftar transaksi terakhir saat menyiapkan pembayaran yang sah kepada orang lain.
Langkah terakhir adalah saat korban menempelkan alamat penyerang dan menyetujui transfer, tanpa sadar mengirim dana ke tujuan yang berbahaya.
Dompet dan kunci pribadi korban tetap utuh—lapisan kriptografi tetap aman. Penipuan ini berkembang dari kesalahan manusia, kebiasaan, dan kepercayaan yang dibangun dari pola yang dikenal. Dalam beberapa kasus, eksploitasi diperkuat oleh operasi dusting, di mana transfer kecil membanjiri feed aktivitas pengguna, mendorong mereka berinteraksi dengan entri mencurigakan tanpa curiga.
Tahukah Anda? Skema pencemaran alamat semakin terlihat seiring dengan ekspansi jaringan layer-2 Ethereum, di mana biaya yang lebih rendah memungkinkan transfer kecil massal yang memenuhi riwayat pengguna dengan data untuk penipuan berbasis identitas.
Bagaimana penyerang membuat alamat palsu yang menipu
Alamat kripto adalah string heksadesimal panjang, sering 42 karakter di jaringan yang kompatibel Ethereum. Dompet biasanya memotong tampilan menjadi fragmen pendek, seperti “0x85c…4b7,” yang dieksploitasi penyerang dengan membangun duplikat dengan awalan dan akhiran yang sama, sementara mengubah bagian tengah. Contoh yang sah mungkin berbunyi 0x742d35Cc6634C0532925a3b844Bc454e4438f44e, sementara varian palsu yang hampir identik bisa muncul sebagai 0x742d35Cc6634C0532925a3b844Bc454e4438f4Ae. Strategi ini bergantung pada heuristik visual manusia: orang jarang memverifikasi seluruh string dan sering mengandalkan karakter awal dan akhir untuk menilai keaslian.
Beberapa penyerang bahkan menggunakan alat pembuatan alamat vanity untuk menghasilkan ribuan string yang hampir sama. Pendekatan ini diperkuat oleh dusting, di mana dana kecil menyertai alamat berbahaya untuk menciptakan kesan keabsahan dalam riwayat transaksi pengguna. Dalam praktiknya, ini lebih tentang kepercayaan UX dan ketelitian saat mengirim daripada AI atau kriptografi.
Para peneliti keamanan menekankan perbedaan utama: pelanggaran terletak pada perilaku dan desain antarmuka, bukan pada enkripsi atau proses penandatanganan. Kunci pribadi tetap menjadi kekuatan utama yang mengotorisasi transaksi, tetapi mereka tidak dapat memverifikasi apakah alamat tujuan benar. Hasilnya adalah paradoks: keamanan terkuat di dunia (kriptografi) justru dirusak bukan oleh kekurangan teknis, tetapi oleh kegagalan memverifikasi alamat secara menyeluruh saat pengiriman.
Cara praktis agar lebih aman
Karena pencemaran alamat memanfaatkan kecenderungan manusia daripada kerentanan teknis, perubahan kecil namun sadar dalam cara Anda berinteraksi dengan dompet kripto dapat secara signifikan mengurangi risiko. Berikut langkah-langkah praktis untuk pengguna dan pengembang.
Untuk pengguna
Bangun dan pelihara buku alamat atau whitelist yang terverifikasi untuk penerima yang sering digunakan, lalu rujuk ke sana daripada mengetik ulang atau menyalin dari riwayat.
Selalu verifikasi seluruh alamat sebelum mengirim. Jika memungkinkan, bandingkan karakter demi karakter atau gunakan alat pemeriksaan alamat.
Hindari menyalin alamat dari riwayat transaksi terakhir. Jika perlu, periksa kembali sumbernya dalam daftar, atau masukkan ulang alamat dari bookmark yang dipercaya.
Waspadai transfer kecil yang tidak diminta dan muncul di riwayat Anda; anggap sebagai potensi pencemaran dan pisahkan dari aktivitas normal.
Untuk pengembang dompet
Pilihan desain dapat secara dramatis mengurangi risiko dengan membuatnya lebih sulit bagi alamat tercemar lolos dalam alur harian. Pengaman yang disarankan meliputi:
Penyaringan atau pengurangan tampilan transaksi dust yang sangat kecil dari daftar penerima biasa.
Implementasi pemeriksaan kemiripan alamat penerima yang menandai alamat yang hampir sama saat pengiriman.
Memberikan simulasi pra-tanda tangan dan peringatan risiko saat tujuan terlihat mencurigakan atau cocok dengan pola pencemaran.
Mengintegrasikan pemeriksaan on-chain atau daftar hitam bersama untuk mengidentifikasi dan memblokir alamat tercemar yang sudah dikenal sebelum pengguna mengonfirmasi transfer.
Sumber & verifikasi
Detail pencemaran alamat Phantom Chat dan phishing bitcoin terkait: https://cointelegraph.com/news/phantom-chat-address-poisoning-bitcoin-phishing
Tinjauan umum serangan phishing di crypto: https://cointelegraph.com/learn/articles/what-is-a-phishing-attack-in-crypto-and-how-to-prevent-it
Referensi indeks harga Tether: https://cointelegraph.com/tether-price-index
Pengamatan kritis dari ZachXBT tentang kasus pencemaran: https://x.com/zachxbt/status/2021022756460966139
Komentar industri tentang perlindungan dompet dan pencemaran alamat: https://www.binance.com/en/square/post/34142027296314
Artikel ini awalnya diterbitkan sebagai Address Poisoning in Crypto: How the Scam Works and How to Protect Your Wallet di Crypto Breaking News – sumber terpercaya Anda untuk berita crypto, berita Bitcoin, dan pembaruan blockchain.
