Penipu Gunakan Serangan Phishing Zero Transfer untuk Curi Tether USDT Rp302 Miliar

JAKARTA - Pada 1 Agustus, penipu menggunakan serangan phishing zero transfer berhasil mencuri Tether USDT senilai 20 juta dolar AS (Rp302 miliar) sebelum akhirnya diblacklist oleh penerbit stablecoin Tether.

Menurut pembaruan dari perusahaan analisis on-chain PeckShield, seorang penipu menggunakan skema zero transfer untuk mencuri 20 juta USDT dari alamat korban 0x4071...9Cbc. Alamat tujuan yang sebenarnya yang direncanakan oleh korban untuk mengirim uang adalah 0xa7B4BAC8f0f9692e56750aEFB5f6cB5516E90570; namun, uang tersebut malah dikirim ke alamat phishing: 0xa7Bf48749D2E4aA29e3209879956b9bAa9E90570.

Alamat dompet korban pertama kali menerima 10 juta dolar AS (Rp150 miliar) dari akun Binance. Kemudian, korban mengirimnya ke alamat lain sebelum penipu masuk ke dalam aksi. Penipu kemudian mengirimkan transfer token palsu bernama Zero USDT dari akun korban ke alamat phishing. Beberapa jam kemudian, korban mengirimkan 20 juta USDT ke penipu, mengira bahwa uang tersebut ditransfer ke alamat yang diinginkannya.

Dompet tersebut segera dibekukan oleh penerbit USDT, Tether, yang menimbulkan keheranan atas kecepatan tindakan tersebut.

Pengguna umumnya memeriksa lima digit pertama atau terakhir dari alamat dompet, bukan seluruh alamat, sehingga mereka mengirimkan aset ke alamat phishing. Korban dikelabui untuk mengirimkan transaksi token nol dari dompet mereka ke alamat yang menyerupai alamat yang sudah pernah mereka kirimkan token sebelumnya.

Misalnya, jika korban mengirimkan 100 koin ke alamat untuk deposit di bursa, penyerang mungkin mengirimkan 0 koin dari dompet korban ke alamat yang terlihat mirip, tetapi dikuasai oleh penyerang. Ketika melihat transaksi ini dalam riwayat transaksi mereka, korban mungkin menganggap bahwa alamat yang ditampilkan adalah alamat deposit yang benar dan kemudian mengirimkan koin mereka ke alamat phishing.

Penipuan phishing zero transfer telah menjadi sangat menonjol dalam ekosistem kripto selama setahun terakhir, dengan beberapa kasus yang terungkap. Salah satu kasus pertama dari penipuan zero transfer terjadi pada bulan Desember 2022, dengan kerugian lebih dari 40 juta dolar AS (Rp604,3 miliar) akibat serangan semacam itu sejak saat itu.