beritakripto.id
Tutorial

Address Poisoning Scam Crypto: Cara Kerja dan Cara Hindari

Pelajari modus address poisoning, kenapa copy-paste alamat wallet bisa berbahaya, dan langkah praktis untuk mencegah salah kirim aset crypto.

Tim RedaksiTim editorial beritakripto
24 Juni 2026Dicek oleh Tim Redaksi 24 Juni 20265 menit baca
Bagikan:
Layar laptop menampilkan alamat dompet kripto yang sedang diperiksa

Address poisoning adalah salah satu scam crypto yang paling berbahaya justru karena terlihat sepele. Menurut FBI, pelaku mengirim token atau transaksi kecil dari alamat yang sengaja dibuat mirip dengan alamat yang pernah Anda pakai sebelumnya. Harapannya sederhana: korban membuka riwayat transaksi, menyalin alamat yang tampak familiar, lalu mengirim dana ke alamat penipu.

Untuk user Indonesia, risiko ini paling sering muncul saat transfer dari exchange ke wallet pribadi, antar-wallet sendiri, atau saat kirim stablecoin ke jaringan lain. Setelah transaksi on-chain final, dana biasanya tidak bisa ditarik kembali. Karena itu, pencegahan jauh lebih penting daripada berharap ada pemulihan setelah salah kirim.

Yang Anda Butuhkan

  • alamat tujuan dari sumber resmi, bukan dari riwayat transaksi acak;
  • waktu ekstra 30-60 detik untuk verifikasi;
  • wallet atau exchange yang punya warning keamanan atau address book.

Apa Itu Address Poisoning

MetaMask menjelaskan bahwa address poisoning terjadi ketika penyerang mengirim transaksi kecil dari alamat yang sangat mirip dengan alamat tujuan yang sah. Kemiripannya sering ada di karakter awal dan akhir, karena banyak orang hanya mengecek dua bagian itu saat copy-paste.

Modus umum:

  1. Anda pernah transfer ke alamat A.
  2. Penipu membuat alamat B yang tampilannya mirip dengan A.
  3. Penipu mengirim dust transaction atau token spam dari B ke wallet Anda.
  4. Saat Anda butuh transfer lagi, Anda menyalin alamat B dari history karena terlihat familiar.

Scam ini tidak butuh wallet Anda diretas. Penipu hanya memanfaatkan kebiasaan buruk pengguna.

Kenapa Scam Ini Efektif

Ada tiga alasan utama:

  • Riwayat transaksi terasa tepercaya. Banyak orang menganggap history wallet otomatis aman.
  • Alamat kripto sulit dibaca manual. String panjang membuat pengguna cenderung hanya memeriksa beberapa karakter.
  • Transfer on-chain irreversibel. Tidak ada chargeback seperti kartu kredit.

Karena itu, address poisoning lebih dekat ke kesalahan operasional daripada eksploit teknis. Serangannya menargetkan perhatian Anda.

Langkah 1: Ambil Alamat Tujuan dari Sumber Asli

Jangan pernah menjadikan tab recent transactions sebagai sumber utama alamat penerima. Ambil alamat hanya dari:

  • halaman deposit resmi exchange;
  • address book yang Anda simpan sendiri;
  • QR code resmi dari wallet tujuan;
  • catatan offline yang sudah diverifikasi sebelumnya.

Kalau Anda rutin tarik dana dari exchange Indonesia ke wallet self-custody, buat satu address book yang sudah diuji. Jangan salin dari transaksi dust yang muncul mendadak.

Langkah 2: Cek Lebih dari Awal dan Akhir Alamat

Kebiasaan "cek 4 karakter awal dan 4 karakter akhir" tidak selalu cukup. Address poisoning memang dibuat untuk lolos dari pemeriksaan yang terlalu cepat.

Praktik yang lebih aman:

  • bandingkan alamat penuh jika memungkinkan;
  • jika tidak praktis, cek beberapa blok karakter di awal, tengah, dan akhir;
  • cocokkan network tujuan sekaligus, bukan hanya alamatnya.

Address Ethereum yang benar di jaringan salah tetap bisa berujung kehilangan dana. Jadi verifikasi harus mencakup alamat dan jaringan.

Langkah 3: Pakai Fitur Peringatan Wallet

MetaMask menjelaskan bahwa wallet mereka kini bisa menampilkan peringatan ketika alamat tujuan sangat mirip dengan alamat yang pernah dipakai sebelumnya, atau ketika Anda mengirim ke alamat baru yang belum pernah digunakan.

Kalau wallet Anda mendukung fitur seperti ini:

  • jangan abaikan warning;
  • hentikan transaksi;
  • bandingkan ulang alamat dengan sumber asli;
  • ulangi copy dari situs atau wallet tujuan yang sah.

Peringatan wallet membantu, tapi bukan pengganti verifikasi manual.

Langkah 4: Kirim Tes Kecil untuk Nominal Besar

Untuk transfer bernilai besar, kirim test transaction dulu. Ini terutama penting untuk:

  • penarikan pertama ke wallet baru;
  • transfer lintas perangkat;
  • pengiriman ke alamat kustodian, OTC desk, atau pihak ketiga;
  • perpindahan dana antar-jaringan yang jarang Anda pakai.

Biaya tambahan biasanya jauh lebih murah dibanding risiko kehilangan seluruh dana karena satu copy-paste yang salah.

Langkah 5: Abaikan Dust Transaction dan Token Spam

Jangan menyentuh transaksi kecil yang muncul tiba-tiba di riwayat wallet Anda. Itu bisa jadi:

  • alamat umpan untuk address poisoning;
  • token spam;
  • promosi palsu yang mengarahkan ke situs phishing.

Kalau Anda tidak mengenali transaksi masuk, perlakukan itu sebagai noise. Jangan jadikan alamat asalnya sebagai referensi kirim balik.

Langkah 6: Bedakan Address Poisoning dari Clipboard Hacking

MetaMask juga membedakan address poisoning dari clipboard hacking. Pada clipboard hacking, malware di perangkat Anda mengganti alamat yang baru Anda copy. Pada address poisoning, alamat palsu muncul di history untuk memancing Anda memilihnya sendiri.

Artinya, dua lapis pengaman tetap dibutuhkan:

  • kebersihan perangkat untuk mencegah clipboard hijacking;
  • disiplin operasional untuk mencegah salah pilih alamat dari riwayat.

Checklist Aman Sebelum Klik Kirim

Sebelum konfirmasi transaksi, cek lima hal ini:

  • alamat berasal dari sumber resmi;
  • jaringan tujuan sudah benar;
  • alamat tidak diambil dari dust transaction;
  • nominal besar sudah diuji dengan transfer kecil;
  • wallet tidak menampilkan warning keamanan.

Kalau satu saja tidak yakin, tunda dulu.

Walaupun Anda memakai exchange yang legal atau masuk whitelist OJK, risiko address poisoning tetap ada ketika dana keluar ke blockchain publik. Regulator bisa membantu pada level kepatuhan platform, tetapi tidak dapat membalikkan transaksi on-chain yang salah tujuan.

Karena itu, user Indonesia tetap perlu memperlakukan transfer crypto seperti transfer kas final: satu karakter salah bisa berarti dana pindah permanen.

Jika Sudah Terlanjur Salah Kirim

Respons paling realistis:

  1. Simpan hash transaksi dan waktu kejadian.
  2. Hubungi pihak penerima hanya jika alamat itu milik institusi yang bisa diidentifikasi.
  3. Pindahkan sisa aset dari wallet jika Anda curiga perangkat atau proses Anda sudah terkompromi.
  4. Audit ulang kebiasaan copy-paste dan address book.

Jangan berharap ada mekanisme pembatalan universal. Dalam banyak kasus, tidak ada.

Kesimpulan

Address poisoning bukan scam yang canggih secara teknis, tetapi sangat efektif karena menyerang rutinitas pengguna. Kebiasaan kecil seperti mengambil alamat dari source of truth, memeriksa lebih dari sekadar ujung alamat, dan mengirim tes kecil bisa menghilangkan sebagian besar risiko.

Kalau Anda aktif kirim dana dari exchange ke wallet pribadi, baca juga panduan cara amankan wallet crypto dari hack dan phishing dan cara backup seed phrase yang aman.

Disclaimer

Artikel ini bersifat edukatif, bukan nasihat keamanan individual. Selalu verifikasi transaksi langsung di wallet atau platform resmi sebelum mengirim aset.

Advertisement336 × 280 · Medium Rectangle

Sumber

  1. FBI - Cryptocurrency Token Impersonation Scam(akses 24 Jun 2026)
  2. MetaMask Help Center - Address poisoning scams(akses 24 Jun 2026)
  3. MetaMask Help Center - Clipboard hacking(akses 24 Jun 2026)
Disclosure

Artikel ini bersifat edukatif dan bukan jaminan keamanan absolut. Verifikasi manual tetap wajib sebelum mengirim aset on-chain.

Tag
#keamanan#wallet#scam#transfer-on-chain
Disclaimer

Konten ini hanya untuk tujuan informasi dan bukan rekomendasi investasi. Aset kripto memiliki risiko tinggi termasuk kerugian total modal. Lakukan riset mandiri dan konsultasikan dengan penasihat keuangan terdaftar sebelum mengambil keputusan investasi.

Bermanfaat? Bantu sebarkan:
Bagikan:
Penulis
Tim Redaksi

Tim editorial beritakripto.id meliput berita dan tren crypto di Indonesia.