Apa Itu Serangan Address Poisoning?
Dalam ekosistem blockchain, address merupakan rangkaian karakter yang dapat diakses publik, sehingga siapa pun bisa mengamati dan memanfaatkan informasi ini untuk merancang serangan.
Insiden terbaru yang menimpa pengguna Squads adalah contoh klasik address poisoning. Penyerang membuat address palsu yang sangat mirip dengan akun Anda, menggunakan manipulasi visual agar Anda melakukan kesalahan. Serangan ini tidak secara langsung merusak sistem—melainkan memanfaatkan kesalahan manusia dalam pengambilan keputusan.
Bagaimana Serangan Ini Terjadi?
(Sumber: multisig)
Kejadian ini umumnya berlangsung melalui dua metode utama:
- Pemalsuan Akun Multisig
Penyerang membuat dompet multisig baru dan menambahkan kunci publik korban ke daftar anggota, sehingga akun-akun ini muncul di antarmuka pengguna. Karena sistem menampilkan akun yang terhubung dengan address Anda, akun palsu ini akan tercampur dalam daftar Anda.
- Meniru Format Address
Penyerang secara sengaja menghasilkan address dengan awalan dan akhiran yang mirip dengan address asli. Contoh:
Jika Anda hanya memeriksa beberapa karakter awal dan akhir, risiko salah identifikasi sangat tinggi.
Apa Tujuan dari Serangan Ini?
Tujuan utama serangan ini bukan meretas sistem, melainkan menipu Anda agar melakukan kesalahan.
Tujuan umum meliputi:
-
Secara tidak sengaja mentransfer dana ke address palsu
-
Menandatangani transaksi yang bukan Anda inisiasi
-
Salah mengira akun palsu sebagai akun tim
Kesalahan ini murni akibat tindakan pengguna, bukan celah sistem.
Apakah Keamanan Dana Terdampak?
Saat ini, poin utama yang perlu digarisbawahi adalah tidak ditemukan kerugian dana, dan protokol tetap aman.
Penyerang tidak dapat:
Selama Anda menghindari kesalahan operasional, aset Anda tetap terlindungi.
Pembaruan Keamanan Resmi Mendatang
(Sumber: multisig)
Untuk meminimalkan risiko lebih lanjut, tim Squads telah menyiapkan serangkaian peningkatan UI:
- Jangka Pendek (Segera)
- Jangka Menengah (Dalam Beberapa Hari)
Fitur-fitur ini difokuskan untuk mengurangi kemungkinan salah mengenali address.
Bagaimana Cara Pengguna Melindungi Diri?
Untuk mengurangi risiko serangan, Anda harus membangun kebiasaan operasional yang disiplin. Selalu waspada terhadap akun multisig yang tidak dikenal—hanya berinteraksi dengan akun yang Anda buat sendiri atau yang telah diverifikasi oleh tim Anda. Hindari berinteraksi dengan address mencurigakan, dan jangan hanya mengandalkan beberapa karakter awal atau akhir untuk verifikasi. Pastikan untuk selalu mencocokkan seluruh address atau konfirmasi melalui catatan internal dan whitelist agar meminimalkan kesalahan.
Karena lingkungan multisig biasanya melibatkan banyak pihak, setiap transaksi yang meragukan perlu dikonfirmasi bersama tim sebelum dilanjutkan untuk mencegah kerugian akibat miskomunikasi. Sebaiknya sematkan akun yang sering digunakan dan tepercaya di bagian atas daftar Anda—cara ini meningkatkan efisiensi sekaligus menurunkan risiko kesalahan atau klik yang tidak disengaja.
Ringkasan
Serangan address poisoning pada dasarnya adalah bentuk rekayasa sosial yang memanfaatkan kelalaian manusia, bukan celah teknis. Kasus Squads menegaskan bahwa keamanan blockchain tidak hanya bertumpu pada desain protokol, tetapi juga pada perilaku pengguna. Di dunia on-chain, verifikasi address secara konsisten dan kehati-hatian saat menandatangani transaksi adalah pertahanan utama untuk melindungi aset Anda.
