Ing tanggal 25 Desember, pirang-pirang pangguna cryptocurrency nglaporake penarikan cepet lan ora sah saka ekstensi browser Trust Wallet, nyebabake peringatan komunitas kanthi langsung. Laporan awal muncul liwat peneliti on-chain ZachXBT, sing nandhet atusan alamat sing wis kompromi ing rantai sing kompatibel EVM, Bitcoin, lan Solana sajrone wektu loro jam. Lonjakan kerugian sing tiba-tiba—awalnya diestimasikake luwih saka $6 yuta—nyebabake pringatan mendesak ing Telegram lan X, nyuwun kabeh pangguna kanggo mbatalake persetujuan lan narik dana.
Para peneliti komunitas kanthi cepet nemokake ekstensi Chrome Trust Wallet versi 2.68 minangka unsur bebarengan sing umum. Investigasi marang file JavaScript ekstensi kasebut ngedhasaraken tambahan sing ora dijlentrehake lan ora ana ing cathetan rilis resmi ing file 4482.js. Potongan kode sing curiga sing diselehake minangka fungsi analitik pancene bisa ngrekam frase seed, ngirimake menyang metrics-trustwallet[.]com, lan banjur mbusak dompet kanthi otomatis nalika impor frase. Payload jahat kasebut mung diaktifake kanggo acara impor dompet, ngindhari deteksi awal.
Analisis salajengipun nglacak luwih saka $6 yuta aset sing dicuri, disalirake liwat mixer privasi lan layanan obfuscation, nuduhaké niyat para penyerang kanggo ngumbah dana kanthi cepet. Alamat korban nyakup akun multisig internal, dompet individu rega dhuwur, lan pedagang ritel cilik, ngandharake kerentanan dompet berbasis browser marang serangan ranté pasokan. Transaksi saka mixer mayor kaya Tornado Cash lan Wasabi Wallet uga diamati, ngandharake strategi ngumbah dana sing terkoordinasi.
Sawisé sorotan umum, Trust Wallet ngluncuraké pamrayoga resmi sing ngakoni kacilakan keamanan sing mung nggatekaké ekstensi versi 2.68. Pamrayoga kasebut nyaranake langsung mateni ekstensi, nganyarke dadi versi 2.69 saka Chrome Web Store resmi, lan ngindhari impor frase seed menyang lingkungan browser. Pangguna seluler lan sing ora nggunakake Chrome dilaporake ora kena. Trust Wallet negesake yen pelanggaran iki ora ngancem aplikasi seluler inti utawa kontrak pinter on-chain.
Insiden iki mbaleni debat babagan risiko self-custody lan keamanan operasional. Ahli ngandharake maneh yen lingkungan manajemen kunci iku kritis kaya protokol kriptografi, lan yen integritas ranté pasokan kudu ditegakkan dening loro panyedhiya dompet lan pasar browser. Minangka langkah pencegahan langsung, peneliti keamanan nganjurake pangguna sing kena supaya migrasi aset sing isih ana menyang dompet anyar sing digawe ing piranti aman sing dipisah saka jaringan, mbatalake kabeh persetujuan dApp, lan ngawasi aktivitas jaringan kanggo interaksi sing mencurigakan.
Sawisé serangan, panjaluk kanggo verifikasi ekstensi sing standar, log owah-owahan sing transparan, lan audit independen saya ngluncur. Perusahaan keamanan blockchain lan kelompok auditor sumber terbuka lagi kolaborasi ngembangaké piranti kanggo ndeteksi kode klien-sisi anomali ing ekstensi dompet sing populer. Kanggo saiki, kedadean Trust Wallet dadi conto sengit babagan carane kerentanan ranté pasokan bisa ngilangi janji kontrol aset kanthi mandiri, ngelingake komunitas supaya prioritasake keamanan end-to-end ing desain lan distribusi dompet.
Komentar (0)