Pada tanggal 25 Desember, beberapa pengguna mata uang kripto melaporkan penarikan cepat dan tidak sah dari ekstensi peramban Trust Wallet mereka, yang memicu peringatan komunitas segera. Laporan awal muncul melalui penyelidik on-chain ZachXBT, yang menandai ratusan alamat yang telah dikompromikan di seluruh rantai yang kompatibel dengan EVM, Bitcoin, dan Solana dalam jendela waktu dua jam. Lonjakan mendadak dalam kerugian yang dilaporkan—diperkirakan lebih dari $6 juta—memicu peringatan penting di Telegram dan X, mendesak semua pengguna untuk mencabut persetujuan dan menarik dana.
Para peneliti komunitas dengan cepat mengidentifikasi versi ekstensi Chrome Trust Wallet, yakni versi 2.68, sebagai faktor penyebab yang umum. Investigasi terhadap berkas JavaScript ekstensi tersebut mengungkapkan penambahan yang tidak dijelaskan dalam “4482.js” yang tidak ada dalam catatan rilis resmi. Potongan kode mencurigakan yang menyamar sebagai fungsi analitik sebenarnya mampu menangkap frasa seed, mengirimkannya ke metrics-trustwallet[.]com, dan kemudian membobol dompet secara otomatis saat frasa dimasukkan. Payload jahat ini diaktifkan hanya untuk kejadian impor dompet, sehingga menghindari deteksi dini.
Analisis lanjutan mengikuti alur rantai melacak lebih dari $6 juta aset curian yang dialirkan melalui mixer privasi dan layanan pengaburan, menunjukkan niat penyerang untuk mencuci dana dengan cepat. Alamat korban membentang dari akun multisig internal, dompet individu bernilai tinggi, hingga pedagang ritel kecil, menyoroti kerentanan dompet berbasis peramban terhadap serangan rantai pasokan. Transaksi peel dari mixer utama seperti Tornado Cash dan Wasabi Wallet juga diamati, menunjukkan strategi pencucian yang terkoordinasi.
Setelah mendapat sorotan publik, Trust Wallet mengeluarkan peringatan resmi yang mengakui adanya insiden keamanan yang hanya memengaruhi versi ekstensi 2.68. Peringatan tersebut merekomendasikan menonaktifkan ekstensi secara segera, memperbarui ke versi 2.69 dari Chrome Web Store resmi, dan menghindari impor frasa seed ke lingkungan peramban. Pengguna seluler dan non-Chrome dilaporkan tidak terpengaruh. Trust Wallet menekankan bahwa pelanggaran tersebut tidak membobol aplikasi seluler inti mereka maupun kontrak pintar on-chain.
Insiden ini membangkitkan kembali perdebatan tentang risiko kendali mandiri (self-custody) dan keamanan operasional. Para ahli mengulangi bahwa lingkungan manajemen kunci sama krusialnya dengan protokol kriptografi, dan bahwa integritas rantai pasokan harus ditegakkan baik oleh penyedia dompet maupun marketplace browser. Sebagai langkah pencegahan segera, para peneliti keamanan menyarankan pengguna yang terpengaruh untuk memigrasikan sisa aset ke dompet baru yang dibuat di perangkat yang aman dan terputus dari jaringan (air-gapped), mencabut semua persetujuan dApp, dan memantau aktivitas jaringan untuk interaksi yang mencurigakan.
Dalam dampak serangan ini, seruan untuk penyaringan ekstensi yang distandardisasi, catatan perubahan yang transparan, dan audit independen telah semakin keras. Perusahaan keamanan blockchain dan kelompok auditor sumber terbuka bekerja sama pada alat untuk mendeteksi kode sisi klien yang anomali pada ekstensi dompet populer. Untuk saat ini, insiden Trust Wallet menjadi contoh jelas tentang bagaimana kerentanan rantai pasokan dapat merusak janji kendali aset yang sepenuhnya otonom (self-sovereign), mendesak komunitas untuk memprioritaskan keamanan end-to-end dalam desain dan distribusi dompet.
Komentar (0)