Investor Kripto Kehilangan Rp208 Miliar Akibat Address Poisoning, Begini Modusnya
Yosi Winosa | 2 Februari 2026, 16:27 WIB
AKURAT.CO Kasus pencurian aset kripto kembali mengguncang pasar global. Seorang investor Ethereum dilaporkan kehilangan 4.556 ETH senilai sekitar USD12,4 juta atau Rp208,3 miliar setelah menjadi korban serangan address poisoning, salah satu teknik penipuan kripto yang semakin canggih dan sulit dideteksi.
Insiden ini menjadi sorotan karena pelaku tidak hanya mengandalkan kelengahan korban, tetapi juga melakukan pengamatan transaksi selama berbulan-bulan sebelum melancarkan aksinya.
Serangan address poisoning memanfaatkan kebiasaan pengguna wallet kripto yang hanya memeriksa sebagian kecil karakter alamat tujuan.
Kronologi Pencurian Ethereum USD12,4 Juta
Dikutip dari BeinCrtypto, Senin (2/2/2026) analis blockchain dengan nama samaran Specter mengungkapkan bahwa pencurian tersebut terjadi sekitar 32 jam setelah pelaku mengirim transaksi kecil (dusting) ke wallet korban.
“Penyerang lebih dulu melakukan dusting melalui transaksi bernilai sangat kecil, lalu menunggu hingga alamat palsu muncul di riwayat transaksi korban,” ujar Specter.
Berdasarkan temuannya, pelaku menghabiskan waktu sekitar dua bulan untuk memantau aktivitas on-chain korban. Selama periode tersebut, peretas mengidentifikasi satu alamat deposit yang rutin digunakan korban untuk penyelesaian transaksi over-the-counter (OTC).
Cara Kerja Address Poisoning: Alamat Palsu Mirip Asli
Setelah memahami pola transaksi korban, penyerang kemudian membuat vanity address, yakni alamat wallet tiruan yang memiliki karakter awal dan akhir identik dengan alamat OTC yang sah.
Teknik ini efektif karena sebagian besar wallet kripto hanya menampilkan beberapa digit pertama dan terakhir dari alamat panjang berbentuk heksadesimal. Akibatnya, alamat palsu dan alamat asli tampak nyaris sama dalam sekali pandang.
“Address poisoning mengeksploitasi kebiasaan pengguna yang jarang memverifikasi seluruh karakter alamat, terutama pada transaksi berulang,” jelas Specter.
Saat hendak memindahkan dana besar, korban tanpa sadar menyalin alamat yang sudah ‘teracuni’ dari riwayat transaksi, bukan alamat OTC resmi. Kesalahan fatal ini berujung pada hilangnya ribuan Ethereum dalam satu kali transfer.
Bukan Kasus Tunggal, Kerugian Capai Puluhan Juta Dolar
Insiden ini bukan yang pertama. Dalam beberapa pekan terakhir, tercatat setidaknya dua pencurian kripto bernilai delapan digit dengan modus serupa. Bulan lalu, seorang trader kripto dilaporkan kehilangan sekitar USD50 juta akibat address poisoning.
Pelaku industri menilai maraknya kasus ini tidak lepas dari desain antarmuka wallet yang memotong tampilan alamat demi efisiensi layar, khususnya di perangkat mobile. Sayangnya, keputusan desain tersebut justru menyembunyikan karakter tengah bagian krusial yang membedakan satu alamat dengan lainnya.
Alarm bagi Investor Institusional
Kasus ini juga memunculkan pertanyaan besar terkait protokol keamanan investor kelas institusional. Pasalnya, transaksi bernilai jutaan dolar umumnya dilindungi oleh prosedur berlapis, seperti whitelisting alamat dan uji coba transfer dalam nominal kecil.
“Untuk pembayaran kripto berulang, mengandalkan riwayat transaksi adalah praktik berisiko tinggi,” tegas perusahaan keamanan blockchain Scam Sniffer.
Scam Sniffer merekomendasikan investor untuk menggunakan buku alamat terverifikasi yang bersifat permanen, alih-alih menyalin alamat dari histori transaksi. Langkah ini dinilai efektif untuk memitigasi risiko spoofing antarmuka dan address poisoning.
Kasus hilangnya Rp208 miliar akibat address poisoning menegaskan bahwa risiko di dunia kripto tidak selalu datang dari peretasan sistem, tetapi juga dari manipulasi perilaku pengguna.
Di tengah meningkatnya nilai transaksi dan kompleksitas ekosistem blockchain, kehati-hatian dalam memverifikasi alamat wallet menjadi kunci utama perlindungan aset digital.
Dilarang mengambil dan/atau menayangkan ulang sebagian atau keseluruhan artikel di atas untuk konten akun media sosial komersil tanpa seizin redaksi.
