Address poisoning ialah scam dalam ekosistem kripto di mana penipu cuba buat anda tersalah hantar aset ke alamat mereka dengan cara “meracun” sejarah transaksi atau senarai alamat yang anda biasa rujuk. Contohnya anda pernah hantar USDT ke alamat exchange, tiba tiba ada transaksi kecil masuk dari alamat yang nampak sama, lalu anda tersalah copy alamat itu bila nak hantar lagi.
Scam ini berlaku kerana blockchain adalah sistem terbuka, jadi sesiapa pun boleh hantar transaksi ke alamat anda dan mereka tak perlu minta izin untuk “muncul” dalam sejarah transaksi dompet anda. Contohnya walaupun anda tak kenal pun siapa hantar, dompet anda masih akan paparkan transaksi itu seperti transaksi biasa.
Cara penipu buat address poisoning biasanya bermula dengan mereka menjana alamat yang nampak hampir sama dengan alamat yang anda selalu guna, contohnya sama pada beberapa aksara awal dan beberapa aksara akhir. Contohnya alamat sebenar anda bermula dengan 0xABCD dan berakhir dengan 1234, scammer akan cari alamat yang juga bermula 0xABCD dan berakhir 1234 supaya mata anda cepat tertipu.
Selepas itu mereka hantar transaksi kecil atau kadang kadang nilai sangat kecil untuk “menanam” alamat palsu itu dalam sejarah transaksi, dengan harapan anda akan copy alamat itu dari transaction history tanpa semak penuh. Contohnya anda nampak dalam sejarah transaksi ada baris baru yang seperti alamat yang biasa anda guna, anda tekan copy, lalu anda menghantar 1 ETH ke alamat scammer.
Kes terkenal yang dilaporkan menunjukkan betapa mahalnya kesilapan ini, apabila mangsa hampir kehilangan kira kira 68 juta dolar dalam WBTC kerana tersalah menghantar ke alamat yang kelihatan sama jika hanya tengok beberapa aksara awal. Contohnya ini mengajar bahawa semak 4 aksara depan dan 4 aksara belakang sahaja tidak semestinya cukup bila scammer sengaja meniru bahagian itu.
Perkara yang ramai tak sedar ialah address poisoning tidak bermaksud dompet anda telah digodam, ia lebih kepada perangkap psikologi dan kesilapan manusia ketika copy paste alamat. Contohnya walaupun anda terima transaksi pelik, aset anda masih selamat selagi anda tidak menghantar keluar ke alamat yang salah atau tidak meluluskan transaksi meragukan.
Tanda anda mungkin sedang jadi sasaran ialah wujud transaksi kecil yang anda tak ingat buat, atau muncul alamat baru dalam sejarah transaksi yang nampak seakan alamat anda sendiri atau alamat kerap guna. Contohnya anda tiba tiba nampak token atau NFT yang anda tak pernah beli muncul dalam wallet, dan bila anda klik transaksi, alamat pengirim nampak “familiar” padahal bukan.
Cara paling mudah untuk elak ialah jangan copy alamat dari transaction history, sebaliknya simpan alamat penting dalam address book atau guna kaedah yang memaksa anda sahkan alamat dengan lebih teliti. Contohnya untuk alamat exchange atau alamat kawan, simpan sebagai contact tetap dan gunakan itu setiap kali, bukan cari balik dari sejarah transaksi.
Jika anda guna hardware wallet, biasakan semak alamat penerima pada skrin peranti sebelum anda confirm, kerana peranti itu memaparkan butiran transaksi yang sedang ditandatangani. Contohnya walaupun anda paste alamat dalam laptop, anda masih boleh nampak pada skrin hardware wallet sama ada alamat penerima betul atau tidak sebelum menekan approve.
Satu amalan yang sangat berguna untuk pemula ialah buat transaksi ujian kecil dahulu bila anda mahu hantar jumlah besar, terutama jika alamat baru atau transaksi pertama kali. Contohnya anda hantar 1 USDC dahulu, tunggu ia sampai, baru hantar baki yang besar.
Nota sumber: Prefix Bitcoin “1 / 3 / bc1” dan TRON “T” dirujuk daripada penerangan format alamat yang menyatakan awalan tersebut.
Akhir sekali, ingat satu peraturan, tiada airdrop atau bantuan teknikal yang sah akan minta seed phrase atau recovery phrase anda, dan anda patut abaikan DM yang suruh anda “verify wallet” atau “claim refund” berkaitan transaksi poisoning. Contohnya jika ada orang kata dia boleh pulangkan duit yang tersalah hantar tetapi minta 12 atau 24 perkataan seed phrase, itu hampir pasti scam.
Catat Ulasan