Insiden Penipuan On-Chain Terbesar
Baru-baru ini, salah satu kerugian terbesar akibat penipuan on-chain terjadi. Sebuah serangan pencemaran alamat, yang memanfaatkan cara blockchain berbasis akun dalam mengelola riwayat transaksi dan penggunaan ulang alamat, menyebabkan seorang pengguna kehilangan hampir $50 juta dalam USDT. Menurut Charles Hoskinson, insiden ini tidak akan terjadi pada beberapa arsitektur yang secara inheren lebih tahan terhadap kesalahan semacam ini. Berikut adalah penjelasan mengenai kejadian tersebut.
Model UTXO vs Model Berbasis Akun
Alasan lain mengapa model UTXO itu luar biasa. Bitcoin dan Cardano tidak terpengaruh setelah uang diambil dari Binance. Dompet korban, yang telah aktif selama sekitar dua tahun dan sebagian besar digunakan untuk transfer USDT, menerima hampir $50 juta. Pengguna mengirimkan transaksi uji coba singkat kepada penerima yang dimaksud, yang dianggap banyak orang sebagai perilaku yang aman. Namun, jumlah penuh dikirim beberapa menit kemudian menggunakan alamat yang salah.
Sebelumnya, penipu telah melakukan serangan pencemaran alamat dengan mengirimkan sejumlah kecil USDT dari dompet yang dirancang untuk terlihat seperti alamat asli yang sebelumnya digunakan oleh korban. Korban secara keliru memilih alamat yang tercemar daripada yang benar ketika mereka menyalin alamat dari riwayat transaksi. Akibatnya, $50 juta hilang hanya dengan satu klik.
Dampak dan Analisis
Meskipun kemungkinan besar akan dipindahkan atau ditukar, USDT yang dicuri saat ini masih berada di alamat tujuan. “Ini adalah alasan lain mengapa model UTXO itu luar biasa,” kata Hoskinson sebagai tanggapan terhadap insiden tersebut. Dia tidak salah. Model berbasis akun yang digunakan oleh Ethereum dan banyak rantai EVM lainnya secara langsung menyebabkan jenis penipuan ini. Alamat ditampilkan sebagai string bebas dalam riwayat transaksi, dan dompet mendorong penyalinan dari pertukaran sebelumnya. Itulah yang dimanfaatkan oleh para peretas.
Rantai seperti Bitcoin dan Cardano yang berbasis pada model UTXO berfungsi secara berbeda. Setiap transaksi menghasilkan keluaran baru sambil mengkonsumsi yang sudah ada. Dompet biasanya membuat transaksi dari pemilihan UTXO yang eksplisit, bukan dari titik akhir akun yang digunakan kembali, sehingga pengguna tidak bergantung pada penyalinan alamat tujuan dari riwayat akun dengan cara yang sama. Status akun yang persisten untuk secara visual mencemari tidak ada.
Ini bukanlah cacat protokol atau eksploitasi kontrak pintar, melainkan cacat dalam desain yang berinteraksi dengan sifat manusia. Dalam waktu kurang dari satu jam, insiden ini mengakibatkan kerugian sebesar $50 juta.
