Secara singkat
- MetaMask telah memperingatkan para penggunanya agar tidak menjadi mangsa 'keracunan alamat', penipuan crypto yang semakin populer.
- Setelah memantau transaksi, penipu membuat alamat yang meniru alamat pengguna penerima, menggunakan empat digit pertama dan terakhir yang sama.
- Dengan mengirimkan transaksi $0 dari alamat palsu ke alamat pengirim asli, scammer berharap alamat cache mereka akan menggantikan penerima asli.
MetaMask memperingatkan penggunanya terhadap hal baru yang berkembangpenipuan kripto disebut "keracunan alamat", namun berita itu datang agak terlambat bagi sebagian orang.
Dompet Cryptocurrency dapat menyertakan satu atau lebih akun, masing-masing dengan alamatnya sendiri yang dibuat secara kriptografis, MetaMask menjelaskan dalam sebuahmelepaskan . Namun, angka heksadesimal yang panjang ini sengaja dibuat sulit untuk diingat, membutuhkan penggunaan salin dan tempel yang sering. Inilah tepatnya yang coba dimanfaatkan oleh keracunan alamat.
Bagaimana Alamat Menjadi "Diracuni"
Alih-alih peretasan canggih yang membahayakan infrastruktur protokol, peracunan alamat lebih bergantung pada psikologi manusia dan mekanisme transaksi crypto. Skenario berikut adalah contohnya.
Dalam hal ini, Pengguna A melakukan transaksi reguler ke Pengguna B, yang mana Penyerang C mengetahui penggunaan perangkat lunak yang memantau transfer token tertentu, biasanya stablecoin. Penyerang kemudian akan menggunakan generator alamat "kesombongan" untuk membuat alamat peretas C yang sangat cocok dengan alamat pengguna B.
Penyerang C kemudian akan melakukan transaksi $0 antara alamat pengguna A dan alamat peretas C. Hal ini mengakibatkan 'peracunan' alamat tersebut, karena alamat peretas C menjadi di-cache di atas alamat pengguna B untuk alamat pengguna A. Karena alamat peretas C berbagi sama dengan 4 digit pertama dan terakhir sebagai alamat pengguna B, Penyerang C berharap Pengguna A secara tidak sengaja menggunakan alamatnya saat mencoba bertransaksi dengan Pengguna B.
Penipuan dapat dengan mudah dihindari dengan memeriksa alamat secara menyeluruh sebelum melakukan transaksi, betapapun membosankannya.
Kesalahan MetaMask
Beberapa pengguna kecewa dengan keterlambatan pengumuman berita. “MetaMask akhirnya mendokumentasikan serangan peracunan alamat setelah 2+ bulan,” tweet Han Tuzun. Posnya menyediakan atautan ke sebuah artikel yang menjelaskan penipuan dengan detail menyeluruh tertanggal dari awal Desember.
Tuzun lebih lanjut memperingatkan pengguna tentang generator alamat batil yang dapat menghasilkan alamat yang hampir identik dalam hitungan detik. Pengguna Twitter juga menugaskan pembangun infrastruktur dengan cukup memperingatkan pengguna di UI terhadap serangan semacam itu.
Kemunduran terbaru untuk MetaMask ini terjadi setelah menghadapi reaksi publik yang kuat menyusul pembaruan pada kebijakan penyimpanan datanya. Perusahaan memperbarui kebijakan privasinya akhir tahun lalu, yang mengarah ke laporan bahwa itu akan menghasilkan pengumpulan dompet dan alamat IP pengguna.
Ini dengan cepat menyebabkan arespon panas dari komunitas crypto, yang mendorong postingan dari pengembang ConsenSys pada 6 Desember, untuk mencoba dan meyakinkan penggunanya.
Penafian
BeInCrypto telah menghubungi perusahaan atau individu yang terlibat dalam cerita tersebut untuk mendapatkan pernyataan resmi tentang perkembangan terakhir, tetapi belum ada tanggapan.