Kesalahan copy–paste menyebabkan investor Ethereum kehilangan 12,4 juta USD

Seorang pengguna Ethereum kehilangan 4.556 ETH, senilai lebih dari 12,4 juta USD, setelah secara tidak sengaja mengirim uang ke alamat palsu yang dibuat oleh hacker dalam sebuah penipuan “racun alamat” (address poisoning).

Berdasarkan data yang dianalisis, pelaku serangan telah membuat sebuah alamat dompet yang karakter awal dan akhirnya sama dengan alamat penerima resmi Galaxy Digital. Setelah itu, hacker mengirim transaksi kecil ke dompet korban agar alamat palsu ini muncul dalam riwayat transaksi, sehingga terlihat akrab dan terpercaya.

Karena kebiasaan transaksi yang sering dan ingin beroperasi dengan cepat, korban membuka riwayat transaksi, menyalin salah alamat palsu tanpa memeriksa seluruh rangkaian karakter. Kesalahan copy–paste ini menyebabkan seluruh 4.556 ETH langsung dipindahkan ke dompet pelaku serangan.

Metode penipuan racun alamat ini semakin meningkat dalam bidang crypto, ketika hacker memanfaatkan kebiasaan pengguna yang hanya memeriksa beberapa karakter awal dan akhir dari dompet. Sebelumnya, pada akhir tahun 2025, seorang investor lain juga kehilangan hingga 50 juta USD dengan cara yang serupa, meskipun sudah mencoba mengirimkan sejumlah kecil terlebih dahulu. Transaksi percobaan ini dimanfaatkan hacker untuk membuat alamat palsu yang mirip, sehingga korban mengirimkan seluruh sisa uang secara tidak sengaja.

Para ahli menyarankan pengguna agar tidak menyalin alamat dari riwayat transaksi, melainkan memeriksa seluruh alamat dompet secara lengkap sebelum mengirim uang. Selain itu, pengguna juga dapat menggunakan ENS atau menyimpan alamat terpercaya dalam daftar kontak dompet untuk mengurangi risiko. Beberapa investor juga berpendapat bahwa sebaiknya membagi transaksi besar menjadi beberapa bagian daripada mengirim seluruh uang sekaligus untuk membatasi kerugian jika terjadi kesalahan.