Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Akses ribuan kontrak perpetual
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Pre-IPOs
Buka akses penuh ke IPO saham global
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Promosi
AI
Gate AI
Partner AI serbaguna untuk Anda
Gate AI Bot
Gunakan Gate AI langsung di aplikasi sosial Anda
GateClaw
Gate Blue Lobster, langsung pakai
Gate for AI Agent
Infrastruktur AI, Gate MCP, Skills, dan CLI
Gate Skills Hub
10RB+ Skills
Dari kantor hingga trading, satu platform keterampilan membuat AI jadi lebih mudah digunakan
GateRouter
Pilih secara cerdas dari 40+ model AI, dengan 0% biaya tambahan
Bagaimana mengurangi risiko serangan penyebaran alamat dari sumbernya?
Tulisan: imToken
Di dunia Web3, banyak orang yang merespons pertama kali terhadap keamanan adalah melindungi kunci pribadi, frase pemulihan, dan izin otorisasi.
Tentu saja ini penting, tetapi dalam penggunaan nyata, ada satu jenis risiko yang tidak berasal dari kebocoran kunci pribadi, juga tidak bergantung pada celah kontrak, melainkan terjadi dalam operasi yang sangat biasa: menyalin alamat.
Serangan dengan racun alamat, memanfaatkan hal ini. Ini bukan dengan meretas sistem untuk mendapatkan keuntungan, melainkan melalui penyamaran, gangguan, dan penipuan, sehingga pengguna dalam proses transfer yang tampaknya normal, mengirim aset ke alamat yang salah.
Jenis serangan ini cukup sulit karena bukan karena tingkat teknisnya tinggi, tetapi karena secara tepat memanfaatkan kebiasaan visual dan ketergantungan jalur pengguna dalam operasi sehari-hari.
Apa itu racun alamat?
Yang disebut racun alamat adalah ketika penyerang menghasilkan alamat palsu yang secara visual sangat mirip dengan alamat yang biasa digunakan pengguna, lalu melalui transaksi dengan jumlah nol atau sangat kecil, menyisipkan alamat ini ke dalam riwayat transaksi pengguna.
Ketika pengguna perlu melakukan transfer berikutnya, jika mereka menyalin alamat dari riwayat transaksi tanpa memeriksa karakter secara lengkap, mereka mungkin secara tidak sengaja mengirimkan aset ke alamat palsu yang disiapkan penyerang.
Serangan semacam ini tidak jarang terjadi. Dalam dua tahun terakhir, sudah muncul beberapa kasus terbuka di blockchain, membuktikan bahwa racun alamat tidak hanya menyebabkan kerugian nyata, bahkan kebiasaan melakukan “tes kecil terlebih dahulu baru transfer resmi” pun tidak selalu cukup untuk menghindari risiko.
Lebih parah lagi, karena pembaruan besar Fusaka yang secara signifikan menurunkan biaya Gas, secara tidak langsung menyebabkan biaya marginal serangan racun alamat turun secara drastis. Menurut statistik Blockaid, pada Januari 2026, jumlah percobaan racun di blockchain mencapai 3,4 juta kali, meningkat 5,5 kali lipat dari November tahun lalu (628.000 kali), dan frekuensi racun menunjukkan pertumbuhan yang pesat.
Mengapa racun alamat mudah menjerat orang?
Secara prinsip, racun alamat tidak rumit; yang benar-benar membuatnya sulit dicegah adalah karena ia menargetkan beberapa kelemahan alami dalam operasi pengguna.
1. Alamat sendiri tidak cocok untuk diperiksa secara manual
Serangkaian alamat di blockchain biasanya terdiri dari 42 karakter. Bagi sebagian besar pengguna, memeriksa seluruh alamat secara karakter demi karakter bukanlah metode yang realistis, stabil, dan berkelanjutan. Banyak orang hanya akan melihat beberapa karakter awal dan akhir, memastikan “alamat itu seperti itu” lalu melanjutkan ke langkah berikutnya. Penyerang memang merancang penyamaran berdasarkan kebiasaan ini.
2. Transaksi berbahaya bisa menyusup ke dalam kebisingan transaksi normal
Transaksi racun alamat sering kali muncul dengan jumlah yang sangat kecil bahkan nol, secara bentuk tidak berbeda secara mendasar dari transfer biasa di blockchain. Ketika menyusup ke dalam catatan transaksi nyata, sulit bagi pengguna untuk dengan cepat membedakan mana yang transaksi normal dan mana yang gangguan yang sengaja disisipkan, hanya dari satu deretan riwayat panjang.
3. Pengingat tradisional sering muncul terlalu terlambat
Banyak pengingat keamanan muncul sebelum “konfirmasi transfer”. Tetapi untuk racun alamat, titik risiko yang benar-benar penting biasanya lebih awal—yaitu saat pengguna memutuskan untuk menyalin alamat dari riwayat transaksi.
Jika pengenalan risiko dan peringatan hanya muncul di langkah terakhir, maka jalur kesalahan sebelumnya sebenarnya sudah terbentuk.
Menghadapi racun alamat, dompet tidak cukup hanya “mengingatkan”
Keunikan risiko ini adalah, ia tidak bisa diselesaikan hanya dengan pengguna melihat lebih teliti dan berhati-hati.
Sebagai pintu masuk interaksi pengguna dengan blockchain, dompet harus memikul lebih banyak tugas penilaian awal dan perlindungan aktif, menahan risiko sedini mungkin, bukan membebankan semua beban kepada pengguna sendiri.
Di imToken 2.19.0, kami telah meningkatkan kemampuan pengendalian risiko terkait racun alamat. Pendekatan keseluruhan bukan menambah satu peringatan tunggal, tetapi menempatkan identifikasi, penyaringan, peringatan, dan verifikasi ke posisi yang lebih tepat dalam jalur operasi pengguna.
Tiga lapis perlindungan terhadap racun alamat
1. Menyembunyikan transaksi berisiko tinggi, mengurangi polusi catatan
Untuk situasi di mana alamat berbahaya menyebarkan polusi catatan transaksi melalui transaksi kecil atau nol, versi baru secara default mengaktifkan fitur “sembunyikan transaksi berisiko”.
Ketika sistem mengenali transaksi racun berisiko tinggi, akan terlebih dahulu menyaringnya di catatan transaksi dan notifikasi terkait, berusaha mengurangi informasi gangguan ini langsung muncul di pandangan pengguna.
Tujuannya bukan hanya membuat antarmuka lebih bersih, tetapi juga mengurangi peluang pengguna menyalin alamat berisiko dari riwayat transaksi sejak dari sumbernya.
2. Mempercepat peringatan saat tindakan penyalinan terjadi
Langkah paling kritis dalam racun alamat bukanlah tombol transfer itu sendiri, melainkan saat menyalin alamat.
Oleh karena itu, saat pengguna melakukan salinan dari halaman detail transaksi, sistem akan menambahkan peringatan interaktif yang lebih jelas, membimbing pengguna untuk memeriksa alamat secara lebih lengkap, bukan hanya berdasarkan karakter awal dan akhir.
Dibandingkan hanya memberi peringatan sebelum transfer, pendekatan ini lebih mendekati titik risiko yang sebenarnya terjadi dan lebih efektif memutus jalur kebiasaan “menyalin secara otomatis”.
3. Menandai risiko secara terus-menerus di jalur utama
Selain di daftar catatan dan saat penyalinan, sistem juga akan menandai alamat yang diduga berisiko secara jelas dan memberi peringatan di detail transaksi, sebelum transfer dilakukan.
Tujuannya bukan untuk mengganggu, melainkan memberikan umpan balik risiko yang lebih cepat dan konsisten sebelum pengguna melakukan langkah berikutnya.
Penjelasan teknis: Mengapa pengendalian risiko “dinamis” diperlukan untuk racun alamat
Racun alamat bukan memanfaatkan celah protokol di blockchain, melainkan memanfaatkan kebiasaan dan ketergantungan visual pengguna. Penyerang membuat alamat palsu yang sangat mirip dengan alamat asli, lalu melalui transaksi kecil atau nol, menyisipkannya ke dalam riwayat transaksi, dan menipu pengguna agar secara tidak sengaja menyalin atau mentransfer ke alamat tersebut.
Alasan utama sulit mengatasi adalah: dari hasil eksekusi di blockchain, transaksi ini sering tampak “normal”. Tidak ada tanda-tanda protokol yang mencurigakan, juga tidak ada tanda serangan tradisional, sehingga mengandalkan daftar hitam statis atau peringatan pasca kejadian sering kali tidak cukup untuk menutupi risiko nyata.
imToken menanggapi risiko ini bukan sekadar memberi label “baik” atau “buruk” secara permanen pada alamat, tetapi di titik-titik penting seperti pengguna menyegarkan riwayat transaksi, melihat detail, menyalin alamat, atau memulai transfer, menggabungkan data real-time dari blockchain dan konteks interaksi saat ini, untuk melakukan identifikasi dinamis terhadap transaksi yang mencurigakan, serta menggerakkan klien untuk melakukan penyaringan, penandaan, peringatan tegas, atau verifikasi awal.
Pengenalan risiko bukan hanya melihat “mirip-mirip”
Identifikasi racun tidak hanya bergantung pada seberapa mirip stringnya, tetapi bagaimana menggabungkan berbagai bukti dalam lingkungan noise yang kompleks. Logika pengenalan saat ini terutama mempertimbangkan beberapa sinyal berikut:
Bukti kemiripan
Agar serangan berhasil, alamat palsu harus secara visual “cukup mirip”. Sistem akan mengkuantifikasi fitur struktur dari alamat palsu ini untuk mengenali risiko kemiripan tinggi.
Bukti bentuk biaya
Racun alamat untuk menyebar dengan biaya rendah biasanya menunjukkan distribusi jumlah tertentu dan pola transaksi tertentu. Sinyal jumlah tidak bersifat mutlak, tetapi bisa digunakan bersama bukti lain untuk mengurangi kesalahan penilaian karena faktor tunggal.
Bukti urutan perilaku
Beberapa transaksi racun muncul segera setelah pengguna melakukan transfer nyata, berusaha memanfaatkan inertia dari langkah terakhir pengguna, dan dengan cepat menyisipkan alamat palsu ke dalam catatan transaksi. Sistem akan melakukan penilaian gabungan dalam jendela waktu dan konteks tertentu terhadap perilaku ini.
Mengapa perlu pengambilan keputusan risiko yang terintegrasi?
Sinyal tunggal seringkali tidak cukup untuk mendukung penilaian risiko yang sangat dapat dipercaya. Oleh karena itu, sistem akan menggabungkan berbagai bukti untuk menghasilkan satu hasil risiko yang terpadu, lalu memetakan ke strategi penanganan di berbagai titik.
Desain ini membawa tiga manfaat utama:
Mengurangi false alarm: sinyal lemah tidak akan memicu tindakan tingkat tinggi secara sendiri-sendiri.
Menjaga konsistensi pengalaman: transaksi yang sama akan mendapatkan penilaian risiko yang konsisten di berbagai halaman.
Mendukung analisis ulang dan peningkatan: setiap deteksi dapat ditelusuri kembali ke dasar penilaian, memudahkan iterasi berkelanjutan.
Bagi dompet non-escrow, kemampuan pengendalian risiko ini sangat menantang.
Karena racun alamat memanfaatkan jalur perilaku pengguna, bukan celah protokol yang jelas di blockchain; metode serangan juga terus berkembang sesuai dengan chain, aset, ritme, dan teknik penyamaran. Tanpa titik kontrol terpusat, efektivitas perlindungan sangat bergantung pada kualitas identifikasi, desain titik interaksi produk, dan kemampuan strategi iterasi.
Oleh karena itu, imToken membangun kemampuan ini sebagai sistem keamanan yang dapat berkembang secara berkelanjutan, mendukung pembaruan strategi, manajemen versi, serta observasi dan analisis ulang, agar kemampuan perlindungan dapat mengikuti perubahan teknik serangan.
Bagaimana meningkatkan kemampuan perlindungan
Jika Anda sudah menggunakan imToken, disarankan segera memperbarui ke versi 2.19.0.
Untuk risiko terkait racun alamat, versi baru sudah secara default mengaktifkan kemampuan perlindungan yang relevan, tanpa perlu pengaturan tambahan, sehingga Anda dapat menikmati pengalaman identifikasi risiko dan peringatan yang lebih awal.
Penutup
Racun alamat mengingatkan kita bahwa keamanan Web3 tidak hanya terjadi di saat yang paling berbahaya, tetapi juga bisa tersembunyi dalam operasi sehari-hari yang paling biasa dan akrab.
Ketika risiko mulai memanfaatkan kebiasaan manusia, kemampuan keamanan juga harus beralih dari sekadar “pengingat hasil” ke “perlindungan proses”. Bagi dompet, yang lebih penting bukan hanya mengeksekusi transaksi, tetapi membantu pengguna mengurangi kesalahan dan risiko kesalahan dalam titik-titik kritis.
Itulah alasan mengapa imToken terus meningkatkan kemampuan pengendalian risiko keamanan: agar pengguna tetap mengendalikan aset mereka sendiri, sambil mendapatkan perlindungan keamanan yang lebih cepat dan nyata.