Penipuan Keracunan Alamat: Cara Kerjanya dan Cara Menghindarinya
Bayangkan Anda mengirim kripto seperti biasa. Anda membuka dompet, melihat riwayat transaksi, menyalin alamat yang telah Anda gunakan belasan kali, menempelkannya, dan menekan kirim. Transfer dikonfirmasi dalam hitungan detik. Satu-satunya masalah adalah uang tersebut baru saja sampai ke tangan orang asing yang telah menggunakan daya komputasi nyata untuk membuat alamat yang hampir sama persis dengan alamat Anda, dan blockchain melakukan persis seperti yang Anda perintahkan. Itulah, dalam satu kalimat, peracunan alamat: tidak ada kunci yang dicuri, tidak ada malware, hanya versi palsu diri Anda yang ditanamkan di dalam catatan Anda sendiri. Panduan ini menjelaskan cara kerja penipuan ini, tiga bentuknya, berapa banyak uang yang sebenarnya hilang, dan beberapa kebiasaan yang dapat mencegah penipuan peracunan alamat sebelum Anda mengirim dana ke tempat yang salah.
Apa sebenarnya yang dimaksud dengan peracunan alamat?
Address poisoning adalah serangan phishing yang ditujukan pada memori dan layar Anda, bukan pada kriptografi di baliknya. Kunci pribadi Anda tidak pernah disentuh. Tidak ada yang dikuras, didekripsi, atau diretas. Sebaliknya, penipuan ini memanfaatkan satu kebiasaan manusia yang malas: alamat blockchain adalah kumpulan huruf dan angka yang panjang dan sulit dibaca (sesuatu seperti 0x4a3f...c91d), dan hampir tidak ada yang membaca seluruhnya. Kita memeriksa empat karakter pertama, memeriksa empat karakter terakhir, mengangkat bahu, dan melanjutkan.
Sikap acuh tak acuh itulah yang menjadi kerentanan utama. Buat alamat yang memiliki karakter visual yang sama, tunjukkan kepada seseorang yang sudah mempercayainya, dan Anda memiliki peluang bagus untuk dibayar secara tidak sengaja. Bagian yang kejam adalah apa yang terjadi selanjutnya. Transfer on-chain bersifat final, jadi tidak ada bank yang perlu dihubungi dan tidak ada biaya yang perlu dibatalkan; begitu Anda mengkonfirmasi, uang tersebut menjadi milik orang lain. Asuransi dan pengembalian dana, jaring pengaman yang menyelamatkan orang-orang dalam keuangan tradisional, sama sekali tidak ada di sini. Peracunan alamat tidak merusak blockchain. Itu mengalihkan perhatian Anda, lalu membiarkan blockchain melakukan persis apa yang luput dari perhatian Anda.
Bagaimana cara kerja peracunan alamat di dunia kripto?
Meskipun hasilnya terasa seperti sihir, mekanismenya sebenarnya biasa saja. Serangan peracunan alamat yang berhasil berlangsung dalam tiga langkah yang dapat direproduksi oleh siapa pun yang mempelajari rantai tersebut.
Langkah 1: menghasilkan alamat serupa
Pertama, penyerang memilih target, biasanya alamat yang sering digunakan untuk mentransfer uang, lalu menjalankan generator alamat palsu. Perangkat lunak tersebut memproses pasangan kunci kandidat hingga menemukan satu yang alamatnya diawali dan diakhiri dengan karakter yang sama dengan alamat yang biasa digunakan korban untuk mengirim uang. Mencocokkan beberapa karakter saja tidak mahal, dan inilah bagian yang mengkhawatirkan: setelah peningkatan Fusaka Ethereum menurunkan biaya, sebuah analisis menemukan penyerang melakukan tiga juta transfer kecil dengan total biaya sekitar $5.175. Dengan harga tersebut, serangan ini dijalankan seperti pabrik, bukan perampokan.
Langkah 2: Meracuni riwayat transaksi Anda
Selanjutnya, penyerang menanamkan alamat yang mirip tersebut ke dalam catatan Anda, sehingga muncul seolah-olah Anda pernah bertransaksi dengannya sebelumnya. Mereka mungkin mengirimkan sejumlah kecil token asli, atau memicu transfer bernilai nol, atau mengirimkan token palsu kepada Anda. Namun, apa pun caranya, tujuannya sama: membuat alamat palsu tersebut berada dalam riwayat Anda di samping alamat asli, dengan karakter awal dan akhir yang sama.
Langkah 3: jebakan salin-tempel
Kemudian mereka menunggu. Lain kali Anda akan membayar penerima yang biasa Anda bayarkan, Anda memilih cara yang mudah dan menyalin alamat langsung dari riwayat transaksi terbaru Anda. Karakter yang terlihat cocok, tidak ada yang tampak aneh, dan Anda mengirim. Jika dilakukan secara otomatis, Anda mungkin secara tidak sengaja mengirim token ke alamat yang mirip alih-alih alamat yang Anda maksudkan. Blockchain mengeksekusi transfer dengan benar, hanya saja ke orang yang salah. Inilah mengapa peracunan alamat kadang-kadang disebut jebakan salin-tempel, dan mengapa hal itu berhasil pada pengguna yang berhati-hati dan berpengalaman sama mudahnya dengan pada pemula. Yang membuatnya sangat efektif adalah waktunya — entri peracunan sering diselipkan dalam beberapa menit setelah transaksi nyata, sehingga alamat palsu berada tepat di tempat yang diharapkan mata Anda sebagai alamat asli. Anda bukannya ceroboh, melainkan efisien, dan efisiensi itulah yang diandalkan oleh penyerang.
Tiga jenis peracunan alamat
Sebuah studi akademis tahun 2025 dari Carnegie Mellon mengklasifikasikan serangan di dunia nyata menjadi tiga bentuk. Perbedaannya terletak pada cara alamat palsu ditanamkan, yang mengubah apa yang seharusnya Anda curigai dalam riwayat penelusuran Anda.
| Jenis | Bagaimana alamat palsu itu ditanamkan? | Ceritanya |
|---|---|---|
| Perpindahan (debu) kecil | Sejumlah kecil uang nyata yang dikirim dari alamat tiruan. | Jumlah masuk yang sepele dan tidak terduga |
| Transfer nilai nol | Transfer "0" token yang tetap mencatat peristiwa Transfer dalam riwayat Anda. | Menampilkan alamat Anda sendiri sebagai pengirim, nilai 0 |
| Token palsu | Kontrak palsu yang meniru token asli (USDT atau USDC palsu) | Nama token terlihat benar, tetapi alamat kontrak salah. |
Dari ketiganya, transfer bernilai nol adalah varian peracunan alamat yang paling membingungkan orang, karena dapat tampak berasal dari alamat Anda sendiri. Hal itu dimungkinkan karena beberapa kontrak token memungkinkan siapa pun untuk mengeluarkan peristiwa "Transfer" untuk nol token tanpa izin pemilik, sehingga penyerang membuat skrip entri yang ditampilkan dengan tepat oleh dompet Anda. Secara historis, BNB Smart Chain mengalami lebih banyak upaya daripada Ethereum berkat biaya yang lebih rendah, tetapi pemotongan biaya Fusaka membalikkan hal itu, mendorong sebagian besar aktivitas ke Ethereum.
Berapa banyak uang yang dicuri melalui alamat yang diracuni?
Serangan peracunan alamat terdengar seperti kesalahan pembulatan sampai Anda menjumlahkannya. Angka-angka di bawah ini sengaja diberi tanggal, karena di sudut dunia kripto ini angka-angkanya berubah dengan cepat dan total tahun lalu sangat meremehkan masalah ini.
| Kasus atau ukuran | Jumlah | Kapan | Hasil |
|---|---|---|---|
| Studi Carnegie Mellon / USENIX (ETH + BSC) | 270 juta percobaan, kerugian $83,8 juta, 17 juta korban | Juli 2022 hingga Juni 2024 | Studi terbesar hingga saat ini |
| Paus Bitcoin yang dibungkus | Sekitar $68 juta dikirim ke orang yang mirip dengannya. | Mei 2024 | Dana dikembalikan; penyerang memperoleh keuntungan sekitar $1,49 juta. |
| Satu korban USDT | $49,9 juta | Desember 2025 | Dicuci melalui Tornado Cash |
| Kerugian Ethereum (ScamSniffer) | $62 juta | Desember 2025 hingga Januari 2026 | Total dua bulan |
Beberapa kasus tersebut patut diperhatikan. Korban penipuan wrapped-bitcoin, yang hampir kehilangan sekitar $68 juta pada Mei 2024 , sebenarnya mendapatkan kembali dananya, karena penyerang (setelah pencucian uang dan negosiasi) mengembalikan sebagian besar uang dan pergi dengan sekitar $1,49 juta; para penyelidik kemudian mengaitkan kampanye tunggal itu dengan 82.031 alamat palsu. Hampir tidak ada yang seberuntung itu. Korban USDT senilai $49,9 juta pada Desember 2025 melihat uangnya lenyap begitu saja ke Tornado Cash, tanpa pengembalian dan tanpa jalan keluar.
Tren inilah yang benar-benar mengkhawatirkan. Setelah peningkatan Fusaka memangkas biaya Ethereum, upaya peracunan bulanan pada jaringan melonjak lebih dari lima kali lipat, dan pada Januari 2026 Citi menandai bahwa rekor Ethereum sebanyak 2,8 juta transaksi per hari sebagian besar didorong oleh spam peracunan daripada penggunaan ekonomi yang sebenarnya. Pada awal 2026, perkiraan industri tentang kerugian kumulatif telah mencapai sekitar setengah miliar dolar. Yang membuat saya gelisah bukanlah kecerdasan penipuan tersebut, tetapi harganya: beberapa ribu dolar dalam biaya dapat membeli jutaan upaya, dan penyerang hanya membutuhkan satu di antaranya untuk berhasil.
Peracunan vs pemalsuan vs peracunan IP
Kata "peracunan" digunakan untuk berbagai serangan yang sangat berbeda, jadi ada baiknya untuk memisahkannya. Peracunan alamat, yang menjadi topik pembahasan di sini, adalah penipuan kripto yang menanamkan alamat palsu di riwayat Anda. Pemalsuan alamat lebih luas dan biasanya berarti memalsukan pengirim pesan atau transaksi untuk meniru seseorang. Dan "peracunan IP," yang terkadang dicari orang secara keliru, mengacu pada serangan jaringan seperti peracunan cache ARP atau DNS yang tidak ada hubungannya dengan dompet kripto . Kata kerja yang sama, tiga dunia yang tidak terkait.
Cara melindungi diri dari penyalahgunaan alamat
Hampir setiap pertahanan terhadap peracunan alamat bermuara pada satu aturan: jangan pernah mempercayai riwayat transaksi Anda sendiri, dan jangan pernah menyalin alamat langsung dari sana. Alamat palsu ada di sana justru karena di situlah Anda mencari. Bangun beberapa kebiasaan berdasarkan gagasan itu dan serangan tersebut sebagian besar akan berhenti berhasil.
Verifikasi alamat lengkap, jangan hanya nama depan dan nama belakang.
Periksa seluruh string, atau setidaknya sebagian besar dari bagian tengah serta ujungnya. Penyerang dapat mencocokkan beberapa karakter pertama dan terakhir dengan mudah, tetapi mencocokkan rangkaian panjang di tengah jauh lebih sulit. Sebagian besar dompet modern mengikuti standar checksum EIP-55, dan konvensi tampilan yang lebih baru menyoroti lebih banyak bagian alamat sehingga ketidakcocokan lebih mudah ditemukan.
Gunakan buku alamat, jangan pernah menyalin dari riwayat.
Simpan alamat setiap penerima sekali saja, setelah Anda memverifikasinya dari sumber tepercaya, dan mulai saat itu kirim dari kontak yang tersimpan tersebut alih-alih menyalin alamat dari transaksi terbaru. Dompet seperti MetaMask menyebut ini Kontak; prinsipnya sama di mana pun. Entri yang tersimpan tidak dapat dirusak oleh transfer masuk, dan itulah intinya.
Uji transaksi, layar perangkat keras, dan daftar pembayaran yang diizinkan
Untuk transaksi besar, kirimkan sejumlah kecil terlebih dahulu sebagai uji coba dan pastikan alamat penerima sudah benar sebelum mengirimkan sisanya; biaya beberapa sen merupakan asuransi murah terhadap kesalahan senilai jutaan dolar. Dompet perangkat keras juga membantu di sini, karena menampilkan tujuan sebenarnya di layar terpisah yang tidak dapat diubah secara diam-diam oleh malware di komputer Anda. Bisnis yang sering melakukan pembayaran kripto sangat rentan, karena mereka menyalin dan menempel alamat sepanjang hari dan sering mendelegasikan tugas tersebut kepada staf yang mungkin belum pernah mendengar tentang peracunan, sehingga mengunci pembayaran ke daftar tujuan yang telah disetujui sebelumnya (sekumpulan tujuan tetap yang telah diverifikasi dan sistem tidak akan menyimpang darinya) menghilangkan kemungkinan kesalahan manusia sepenuhnya. Jika Anda menerima pembayaran kripto melalui gateway, periksa apakah gateway tersebut sudah menetapkan alamat penarikan untuk alasan ini.
Apa yang dilakukan dompet dan bursa kripto?
Meskipun perangkat lunak pendukung semakin canggih, tidak ada satu pun yang dapat menggantikan kebiasaan-kebiasaan di atas. Penjelajah blok seperti Etherscan kini menyembunyikan atau menandai transfer bernilai nol sehingga tidak lagi memenuhi riwayat transaksi Anda. Ledger Live dan Trezor Suite menyaring entri yang mencurigakan, dan pada Maret 2026 Trust Wallet meluncurkan perlindungan otomatis terhadap serangan alamat yang mencurigakan di 32 blockchain . Bursa terpusat memiliki risiko tersendiri, karena pengguna berulang kali menggunakan alamat deposit yang sama, sehingga entri yang mencurigakan di sana dapat sama merugikannya. Namun, semua ini tidak sepenuhnya aman—penyerang yang gigih masih dapat menyelipkan alamat serupa yang baru melewati filter yang belum mendeteksinya—jadi perangkat lunak pendukung ini memberi Anda margin keamanan, bukan kekebalan. Perlakukan setiap fitur ini sebagai jaring pengaman yang diregangkan di bawah kehati-hatian Anda sendiri, jangan pernah sebagai pengganti kehati-hatian Anda.
Siapa yang menjadi target, dan kesimpulannya
Sangat menggoda untuk berasumsi bahwa hanya pendatang baru yang ceroboh yang menjadi korban, tetapi data menunjukkan sebaliknya. Kerugian terbesar menimpa pengirim dan bisnis yang aktif dan berpengalaman, tepatnya orang-orang yang sering mentransfer dana dan telah melatih diri untuk menyalin dengan cepat tanpa memeriksa ulang. Penipuan peracunan alamat murah untuk dilakukan, bersifat permanen jika berhasil, dan sepenuhnya dibangun di atas kebiasaan yang hampir kita semua miliki, itulah yang membuatnya begitu tahan lama sebagai penipuan. Kesadaran adalah kunci utama di sini, karena begitu Anda tahu jebakan itu ada, tindakan sederhana memverifikasi alamat lengkap akan menetralisirnya. Pertanyaan sebenarnya bukanlah apakah Anda memahami penipuan tersebut. Melainkan apakah Anda masih akan menyadarinya pada pukul dua pagi, di ponsel Anda, saat membayar seseorang yang telah Anda bayar ratusan kali sebelumnya.
