Kejadian phishing $50M USDT terbaru yang terkait dengan alamat Ethereum yang serupa adalah pengingat keras tentang bagaimana keputusan UX kecil dapat memiliki konsekuensi keuangan yang besar. Dalam kasus ini, pemotongan alamat dompet yang hanya menampilkan beberapa karakter pertama dan terakhir memudahkan penyerang memanfaatkan kepercayaan manusia dan pengenalan pola. Ketika dua alamat terlihat hampir identik dalam sekali pandang, pengguna sering menganggap mereka mengirim dana ke tujuan yang benar. Insiden ini dengan tepat mendorong komunitas Ethereum untuk mendesak penyedia dompet agar memikirkan kembali bagaimana alamat ditampilkan dan diverifikasi.

Secara pribadi, saya percaya bahwa memverifikasi alamat lengkap harus menjadi kebiasaan yang tidak bisa dinegosiasikan, terutama untuk transaksi besar. Meskipun saya mengerti bahwa string hexadecimal yang panjang sulit dibaca dan dibandingkan, mengandalkan hanya pada tampilan yang dipotong atau kemiripan visual adalah risiko. Penyerang mengetahui hal ini, dan mereka sengaja menghasilkan alamat “vanity” atau yang serupa yang meniru alamat terpercaya. Menurut saya, kenyamanan tidak boleh pernah mengalahkan keamanan dalam sistem keuangan—terutama dalam crypto, di mana transaksi tidak dapat dibatalkan.
Salah satu masalah inti di sini adalah bahwa manusia tidak pandai secara manual memverifikasi string panjang, namun banyak desain dompet masih menempatkan beban tersebut sepenuhnya pada pengguna. Di sinilah alat yang lebih baik dapat membuat perbedaan nyata. Dompet harus secara default menampilkan alamat lengkap dengan cara yang dapat dibaca, menawarkan fitur salin dan banding yang mudah, dan secara aktif memperingatkan pengguna ketika sebuah alamat sangat mirip dengan yang pernah mereka gunakan sebelumnya tetapi bukan kecocokan yang tepat. Perubahan UX sederhana seperti menyoroti karakter yang berbeda dapat mencegah jutaan kerugian.
Dari sudut pandang pencegahan, ada beberapa lapisan yang harus bekerja sama. Pertama, perlindungan tingkat dompet sangat penting: tidak ada pemotongan secara default, petunjuk visual yang kuat, peringatan kemiripan alamat, dan layar konfirmasi transaksi yang mendorong peninjauan yang sengaja. Kedua, praktik pengguna sama pentingnya. Saya sangat menyarankan untuk mengirim transaksi percobaan kecil sebelum mentransfer jumlah besar, menandai alamat yang diverifikasi, dan tidak pernah mempercayai alamat yang disalin dari obrolan atau media sosial tanpa verifikasi independen.
Selain dompet dan pengguna, ekosistem yang lebih luas juga memiliki peran. Standar seperti ENS (Ethereum Name Service) dapat secara signifikan mengurangi ketergantungan pada alamat mentah, asalkan pengguna memahami cara memverifikasi kepemilikan ENS dan masa berlakunya. Bursa, aplikasi DeFi, dan penerbit stablecoin juga harus lebih banyak berinvestasi dalam edukasi, menjelaskan teknik phishing umum secara jelas dan memperkuat kebiasaan transaksi yang aman.
Menurut pendapat saya, pelajaran terbesar dari insiden ini adalah bahwa keamanan dalam crypto sama pentingnya dengan desain dan perilaku seperti halnya kriptografi. Memotong alamat mungkin tampak tidak berbahaya, tetapi dalam praktiknya menciptakan rasa yakin yang palsu. Mencegah insiden serupa membutuhkan perubahan budaya menuju alur kerja transaksi yang lebih lambat dan lebih disengaja, didukung oleh dompet yang lebih pintar dan pengguna yang lebih terinformasi. Dalam lingkungan di mana satu klik dapat memindahkan jutaan dolar, kehati-hatian bukanlah paranoia; itu adalah profesionalisme.
‍#EthereumWarnsonAddressPoisoning