Seorang investor kripto menjadi korban penipuan dua kali dalam waktu kurang dari tiga jam, dengan total kerugian mencapai $2,6 juta dalam bentuk stablecoin USDT. Informasi ini dibagikan oleh perusahaan kepatuhan kripto Cyvers pada 26 Mei 2025.

Menurut data Cyvers, korban pertama kali mengirim 843.000 USDT kepada pelaku, disusul dengan transaksi kedua senilai 1,75 juta USDT hanya beberapa jam kemudian. Penipuan ini menggunakan teknik phishing onchain canggih yang dikenal sebagai zero-value transfer.

Apa Itu Zero-Value Transfer?

Zero-value transfer adalah metode phishing onchain yang memanfaatkan fungsi transfer token dalam smart contract untuk menipu pengguna. Pelaku menyerang dengan cara mengirimkan transaksi nol token dari dompet korban ke alamat palsu (spoofed address) yang tampak mirip dengan alamat asli atau aman.

Karena nilai transfer adalah nol, transaksi ini tidak memerlukan tanda tangan dari kunci privat korban, sehingga tetap tercatat di blockchain tanpa sepengetahuan langsung korban. Ketika korban melihat alamat tersebut di riwayat transaksinya, mereka mungkin mengira itu adalah penerima yang sah. Dalam transaksi berikutnya, korban secara tidak sengaja mengirim dana sungguhan ke alamat milik pelaku.

Address Poisoning Generasi Baru

Zero-value transfer merupakan bentuk evolusi dari teknik address poisoning, di mana pelaku mengirim sejumlah kecil kripto dari alamat yang menyerupai milik korban — biasanya dengan karakter awal dan akhir yang sama. Tujuannya adalah membuat korban secara tidak sadar menyalin alamat penyerang dari clipboard atau riwayat transaksi.

Dengan menggabungkan karakter mirip dan transfer nol, pelaku dapat meningkatkan efektivitas serangan, terutama karena banyak pengguna hanya memverifikasi sebagian kecil dari alamat dompet saat melakukan transaksi.

Ancaman yang Meningkat di Banyak Blockchain

Sebuah studi pada Januari 2025 mencatat lebih dari 270 juta upaya address poisoning yang terjadi di jaringan BNB Chain dan Ethereum antara Juli 2022 hingga Juni 2024. Dari jumlah tersebut, sekitar 6.000 serangan berhasil, menyebabkan kerugian lebih dari $83 juta.

Sebagai tanggapan atas meningkatnya ancaman ini, perusahaan keamanan siber kripto Trugard bersama protokol kepercayaan onchain Webacy telah meluncurkan sistem deteksi berbasis kecerdasan buatan (AI) untuk mengenali alamat dompet yang terindikasi poisoning. Berdasarkan pengujian terhadap berbagai kasus serangan yang telah terjadi, sistem ini diklaim memiliki tingkat keberhasilan hingga 97 persen.

Insiden ini menjadi peringatan serius bagi investor kripto untuk tidak hanya mengandalkan riwayat transaksi atau clipboard saat melakukan transfer aset digital. Pengguna disarankan untuk memverifikasi seluruh alamat tujuan secara menyeluruh, serta menggunakan alat pendeteksi phishing dan proteksi address poisoning.

Dengan maraknya metode penipuan seperti zero-transfer phishing dan address poisoning, edukasi dan kewaspadaan menjadi faktor penting untuk menjaga keamanan aset kripto di ekosistem blockchain yang semakin kompleks.