Pemangkasan alamat di wallet masih menjadi kerentanan kritis: Ethereum Community Foundation memperingatkan setelah pencurian 50 juta USDT

Insiden terbaru terkait penipuan siber menunjukkan adanya masalah keamanan yang telah diabaikan industri selama bertahun-tahun. Peretas memanfaatkan praktik umum pada antarmuka pengguna: penyembunyian sebagian alamat blockchain dengan titik-titik (contoh: 0xbaf4b1aF…B6495F8b5).

Bagaimana serangan terjadi

Pelaku melakukan strategi canggih: membuat alamat palsu yang cocok dengan tiga karakter pertama dan digit terakhir dari alamat asli. Pendekatan ini memanfaatkan sistem titik-titik yang menyembunyikan bagian tengah dari alamat tersebut. Seorang korban, percaya bahwa karakter yang terlihat sudah cukup untuk verifikasi, mentransfer 50 juta USDT ke alamat berbahaya tanpa memeriksa kode lengkap secara teliti.

Kerentanan pada antarmuka pengguna

Yayasan Komunitas Ethereum telah memperingatkan bahwa banyak dompet digital dan penjelajah blok yang mengimplementasikan sistem tampilan yang bermasalah ini. Dengan menyembunyikan bagian tengah dari alamat, mereka menciptakan titik buta keamanan yang dapat dengan mudah dieksploitasi oleh aktor jahat. Masalah sebenarnya bukan terletak pada titik-titik tersebut sebagai konsep, melainkan pada rasa aman palsu yang mereka berikan.

Rekomendasi untuk perlindungan lebih baik

Organisasi merekomendasikan segera menampilkan alamat secara lengkap, tanpa pemotongan sama sekali. Perubahan ini akan memungkinkan pengguna untuk memverifikasi setiap karakter secara lengkap sebelum mengotorisasi transaksi. Peningkatan pada antarmuka pengguna saat ini secara teknis memungkinkan dan dapat diimplementasikan tanpa komplikasi besar pada dompet dan platform penjelajah blok.

Peringatan ini merupakan panggilan mendesak kepada seluruh industri untuk meninjau ulang standar keamanan dalam menampilkan informasi penting.