Seorang investor kripto kehilangan $2,6 juta dalam bentuk stablecoin dalam dua serangan phishing hampir identik dalam rentang tiga jam, menyoroti ancaman yang berkembang dan canggih dalam keuangan berbasis blockchain: penipuan zero-transfer.
Insiden ini, yang dilaporkan pada 26 Mei oleh perusahaan keamanan kripto Cyvers, melibatkan dua transaksi besar Tether (USDT) - yang pertama sebesar $843.000, diikuti beberapa jam kemudian dengan transfer kedua sebesar $1,75 juta. Dalam kedua kasus tersebut, korban tampaknya terjebak dalam taktik onchain menipu yang dikenal sebagai transfer nilai nol, metode phishing yang semakin sering digunakan oleh scammer yang menargetkan kebiasaan pengguna terkait alamat dompet.
Kehilangan ganda ini menyoroti keterbatasan antarmuka dompet yang berhadapan dengan pengguna saat ini, meningkatnya rekayasa sosial yang cerdas dalam kejahatan kripto, dan kebutuhan mendesak untuk solusi keamanan yang kuat di seluruh Web3.
Transfer nilai nol mengeksploitasi kelemahan dalam cara pengguna menafsirkan riwayat transaksi dan mempercayai alamat dompet. Teknik ini menyalahgunakan fungsi transferFrom standar token ERC-20, yang memungkinkan pihak mana pun untuk memulai transfer token tanpa persetujuan pengguna - jika jumlahnya nol.
Karena tidak ada token nyata yang dipindahkan, transaksi nol nilai yang dipalsukan ini tidak memerlukan tanda tangan digital dari dompet target. Namun, transaksi ini tetap dicatat secara on-chain, seringkali menyesatkan korban dengan membuat mereka percaya bahwa alamat yang dipalsukan adalah alamat yang sebelumnya dipercaya.
Pada dasarnya, scammers "meracuni" riwayat transaksi korban dengan menyuntikkan transfer nol nilai yang terlihat sah. Ketika korban kemudian akan melakukan transaksi nyata - mungkin menggunakan riwayat dompet atau menyalin alamat yang telah digunakan sebelumnya - mereka bisa secara tidak sengaja mengirim dana ke alamat palsu milik penyerang.
Eksploitasi ini menggunakan dan memperluas metode serangan yang terkait yang disebut address poisoning, di mana scammers mengirimkan sejumlah kecil cryptocurrency dari alamat dompet yang dirancang agar terlihat mirip secara visual dengan kontak yang diketahui pengguna. Ini biasanya mengandalkan eksplotasi ketergantungan pengguna pada pencocokan alamat parsial - seringkali karakter pertama dan terakhir - daripada memverifikasi string lengkap.
Phishing Canggih
Bahaya utama dari penipuan zero-transfer dan address poisoning bukanlah terletak pada kekurangan protokol kriptografi, tetapi dalam memanipulasi perilaku pengguna. Antarmuka dompet kripto - terutama dompet berbasis peramban dan aplikasi seluler - sering menampilkan riwayat alamat dan transaksi lampau sebagai indikator keamanan, kepercayaan, atau penggunaan sebelumnya. Ini menciptakan permukaan serangan yang tidak bergantung pada kerentanan kode, tetapi lebih pada pengambilan keputusan manusia.
Dalam kasus pencurian $2,6 juta baru-baru ini, korban kemungkinan menggunakan riwayat transaksi dompet mereka untuk memulai atau memverifikasi alamat, dengan keyakinan bahwa mereka mengirimkan dana ke kontak yang telah diketahui atau dipercaya sebelumnya. Ulangi serangan ini dalam waktu kurang dari tiga jam menunjukkan bahwa korban baik tidak mendeteksi kehilangan awal secara tepat waktu atau percaya bahwa transaksi pertama sah - kedua skenario ini menunjukkan betapa licinnya dan meyakinkannya scam itu dalam waktu nyata.
Kehilangan ini terjadi secara eksklusif dalam USDT (Tether), stablecoin yang banyak digunakan dengan volume onchain harian milyaran. Karena USDT biasanya digunakan dalam transfer institusional dan ritel besar, itu menjadi target utama untuk penipuan presisi yang berfokus pada dompet bernilai tinggi.
Serangan Poisoning Semakin Meningkat
Insiden ini bukanlah kasus terisolasi. Sebuah studi komprehensif yang dirilis pada Januari 2025 mengungkapkan bahwa lebih dari 270 juta upaya address poisoning tercatat di seluruh Ethereum dan BNB Chain antara Juli 2022 dan Juni 2024. Meskipun hanya 6.000 dari serangan tersebut yang berhasil, mereka secara kolektif bertanggung jawab atas lebih dari $83 juta dalam kerugian yang dikonfirmasi.
Volume upaya yang luar biasa - berhasil atau tidak - menyiratkan bahwa strategi poisoning murah untuk dijalankan dan tetap efektif karena kecenderungan perilaku pengguna dan kurangnya UX anti-phishing dalam dompet kripto umum.
Tercatat, skala kerusakan pada kasus individu signifikan. Pada 2023, penipuan zero-transfer serupa menyebabkan pencurian $20 juta dalam USDT, sebelum Tether akhirnya memasukkan dompet tersebut ke dalam daftar hitam. Namun, memasukkan ke daftar hitam bukanlah perlindungan universal - banyak token tidak mendukung daftar hitam penerbit, dan tidak semua jaringan blockchain menawarkan alat intervensi serupa.
Alat Deteksi AI dan Pembaruan Antarmuka
Menanggapi peningkatan phishing zero-transfer, beberapa perusahaan infrastruktur dompet dan keamanan siber berupaya mengurangi risiko melalui sistem deteksi yang lebih cerdas.
Awal tahun ini, perusahaan keamanan blockchain Trugard bermitra dengan protokol keamanan onchain Webacy untuk memperkenalkan sistem deteksi berbasis AI yang dirancang khusus untuk mendeteksi potensi upaya address poisoning. Menurut pengembangnya, alat ini telah menunjukkan tingkat akurasi 97% dalam uji coba yang melibatkan data serangan historis.
Sistem ini bekerja dengan menganalisis pola dalam metadata transaksi, perilaku transfer, dan kesamaan alamat, kemudian memberi peringatan kepada pengguna sebelum transaksi selesai. Namun, adopsi yang lebih luas di dompet populer tetap terbatas, karena banyak platform masih dalam proses mengintegrasikan alat keamanan pihak ketiga.
Beberapa pengembang dompet juga mengeksplorasi perubahan dalam cara riwayat transaksi disajikan. Sebagai contoh, menandai transaksi nol nilai, memberi warna pada alamat berdasarkan skor kepercayaan, dan mempermudah verifikasi alamat penuh sedang dipertimbangkan sebagai cara untuk mengganggu tingkat keberhasilan scam. Namun, sampai perubahan antarmuka seperti itu menjadi standar di industri, pengguna tetap terekspos.
Titik Buta Hukum dan Regulasi
Meskipun penipuan zero-transfer secara teknologi sederhana, tindakan hukum terhadap pelaku kompleks dan jarang berhasil. Banyak dari penipuan ini berasal dari entitas anonim atau asing, dengan dana segera dicuci melalui pertukaran terdesentralisasi, mixer, atau jembatan antar rantai.
Penerbit stablecoin seperti Tether dapat campur tangan hanya ketika mekanisme kontrol pusat ada - dan hanya jika dana curian tetap tidak tersentuh atau dapat dilacak. Begitu penyerang memindahkan dana ke kolam privasi atau mengkonversi menjadi aset lain, penarikan menjadi hampir tidak mungkin.
Selain itu, lembaga penegak hukum seringkali kurang memiliki keahlian teknis atau jangkauan yurisdiksi untuk menyelidiki serangan semacam itu kecuali mereka adalah bagian dari kampanye besar yang terorganisir.
Garis Pertahanan Terakhir
Untuk saat ini, pengguna akhir harus meningkatkan kehati-hatian saat berinteraksi dengan alamat blockchain - terutama untuk transfer bernilai besar. Praktik terbaik meliputi:
- Selalu memverifikasi alamat penuh, bukan hanya karakter pertama/terakhir.
- Menghindari penggunaan riwayat dompet untuk menyalin alamat.
- Menandai alamat yang dikenal dari sumber resmi secara manual.
- Menggunakan dompet dengan deteksi phishing bawaan, jika tersedia.
- Memantau transfer masuk bernilai nol sebagai sinyal bahaya potensial.
Peningkatan serangan phishing zero-transfer menunjukkan pergeseran ancaman Web3 dari peretasan tingkat protokol ke serangan rekayasa sosial menggunakan metadata onchain. Seiring meningkatnya nilai aset di blockchain publik, metode ini juga akan semakin canggih - membuat edukasi pengguna dan peningkatan alat dompet menjadi penting untuk melindungi dana.