Kritik CZ terhadap Etherscan
CZ, mantan CEO Binance, mengkritik Etherscan karena menampilkan transaksi spam yang berasal dari penipuan pemrosesan alamat. Ia menegaskan bahwa penjelajah blok seharusnya dapat menyaring sepenuhnya transfer yang berbahaya. Dalam sebuah unggahan di X, CZ menyebutkan bahwa TrustWallet telah berhasil menerapkan penyaringan tersebut, sementara Etherscan masih menunjukkan transaksi pemrosesan alamat bernilai nol yang membanjiri dompet pengguna.
Insiden Pengguna Nima
Kritik ini muncul setelah insiden di mana seorang pengguna bernama Nima menerima 89 email pemrosesan alamat dalam waktu kurang dari 30 menit, hanya setelah melakukan dua transfer stablecoin di Ethereum. Etherscan sendiri telah mengeluarkan peringatan mengenai serangan ini, yang bertujuan untuk menipu pengguna agar menyalin alamat yang mirip dari riwayat transaksi saat mengirim dana. Nima memperingatkan,
“Begitu banyak orang yang akan menjadi korban dari ini,”
setelah kampanye serangan otomatis menargetkan dompetnya.
Pentingnya Penyaringan Transaksi
CZ menekankan bahwa penjelajah blok seharusnya tidak menampilkan transaksi spam ini dan bahwa penyaringan seharusnya dapat dilakukan dengan mudah. Ia juga mencatat bahwa hal ini dapat berdampak pada transaksi mikro antara agen AI di masa depan, di mana AI dapat digunakan untuk menyaring spam.
Perbedaan Pengaturan Etherscan dan Lainnya
Etherscan menyembunyikan transfer bernilai nol secara default, tetapi BscScan dan Basescan mengharuskan pengguna untuk secara eksplisit mengklik tombol “sembunyikan transaksi 0 jumlah” untuk menghapus transaksi yang terkait dengan serangan pemrosesan alamat. Perbedaan dalam pengaturan default ini membuat beberapa pengguna rentan terhadap spam yang dapat menyebabkan pengiriman dana ke alamat yang dikendalikan oleh penyerang.
Risiko Tambahan dari Swap
CZ juga mencatat bahwa penyaringan ini mungkin mempengaruhi transaksi mikro antara agen AI di masa depan, dan menyarankan bahwa AI dapat digunakan untuk membedakan antara transfer bernilai nol yang sah dan spam. Dr. Favezy menambahkan bahwa swap juga menciptakan risiko tambahan di luar pemrosesan alamat. Swap dari dompet 0x98 yang mengubah $50 juta menjadi $36.000 kemarin menimbulkan kekhawatiran tentang pemilihan routing dan sumber likuiditas.
“Saya sangat berharap agen AI akan mampu merouting melalui router yang tepat dan sumber likuiditas terbaik untuk menghindari situasi seperti ini,”
tulis Favezy.
Metode Serangan
Serangan ini bekerja dengan memulai transfer token bernilai nol menggunakan fungsi transferFrom. Penyerang mengirim token bernilai nol untuk menciptakan peristiwa transfer yang muncul dalam riwayat transaksi korban. Setiap alamat secara default memiliki persetujuan bernilai 0, yang memungkinkan emisi peristiwa tersebut. Penyerang kemudian menggabungkan ini dengan spoofing alamat untuk meningkatkan kemungkinan korban menyalin alamat transfer yang salah. Alamat yang dipalsukan cocok dengan karakter pertama dan terakhir dari alamat yang sah. Kasus Nima menunjukkan skala yang dapat dicapai oleh serangan ini, dengan 89 upaya pemrosesan dalam 30 menit dari hanya dua transfer yang sah. Sifat otomatis dari serangan ini memungkinkan penyerang untuk menargetkan ribuan alamat secara bersamaan setiap kali mereka mendeteksi pergerakan stablecoin atau token di rantai.
