Kebocoran ekstensi browser Trust Wallet nyedot dhuwit $7 yuta saka pangguna.

by Admin |

Ringkesan Kedadosan

Ing tanggal 26 Desember 2025, ana laporan babagan penarikan massal tanpa ijin saka ekstensi Chrome Trust Wallet, versi 2.68. Sawise sawetara jam saka pembaruan rutin, para penyerang nyebarke kode jahat ing ekstensi kasebut sing sacara diam-diam ngrekam frasa seed lan kunci privat. Para korban ngalaporake panyudaan dana sing tiba-tiba ing sawetara rantai, lan analisis ing jaringan wiwitan nuduhake kerugian kira-kira $7 yuta.

Vektor Serangan lan Garis Waktu

  • Desember 24, 2025: Versi 2.68 dirilis liwat Chrome Web Store.
  • Desember 26, 2025, 00:15 UTC: Detektif blockchain ZachXBT ngandhani komunitas sawise mirsakake gerakan dana sing cepet saka dompet-dompet sing beda-beda.
  • Desember 26, 2025, 02:00 UTC: PeckShield negesake siphoning luwih saka $6 yuta, kanthi kira-kira 40% saka aset sing dicuri dilaundry liwat bursa-bursa terpusat.
  • Desember 26, 2025, 04:30 UTC: Trust Wallet nerbitake pandhuan supaya mateni versi 2.68 lan nganyarke menyang versi 2.69 sing wis ditambal.
  • Desember 26, 2025, 07:42 UTC: Trust Wallet negesake kerugian total kira-kira $7 yuta lan janji menehi ganti rugi lengkap marang para pangguna.

Analisis Teknis

Para penyerang nyisipake backdoor rantai pasokan kanthi nyuntik instrumen PostHog JS ing skrip inti ekstensi. Iki ngidini eksfiltrasi frasa seed sing wis didekripsi lan materi kunci privat sacara real-time menyang titik ujung jahat. Klastering ing jaringan on-chain nuduhake yen aset sing dicuri dipisah-pisah antarane Bitcoin, Ethereum, Solana, lan token liyane sing kompatibel EVM, kanthi asil kasebut digabungake ing sakumpulan alamat penarikan cilik sadurunge disebarake menyang bursa kanggo diowahi dadi fiat.

Mitigasi lan Respons

Trust Wallet nerbitake versi 2.69, sing mbusak kode jahat lan ngrotasi tanda tangan kritis sing digunakake ing pembaruan ekstensi. Pangguna sing kena dampak didorong kanggo mbatalake ijin ekstensi, mindhah aset sing isih ana menyang dompet anyar, lan ngaktifake autentikasi loro-faktor yen ana. Pendiri Binance, Changpeng Zhao (CZ), sacara umum njamin penggantian liwat dana SAFU. Perusahaan keamanan independen lagi mriksa basis kode lan ngawasi kerentanan residu.

Implikasi Umum

Kaoncara iki nglelatarake risiko sing luwih abot bab ekstensi dompet adhedhasar peramban. Benten karo hardware utawa klien desktop sing mandiri, ekstensi peramban operasi ing konteks keamanan peramban, nambah permukaan serangan. Para ahli nyaranake nggunakake dompet hardware utawa solusi abstraksi akun sing ngetokake keterlambatan transaksi lan mbutuhake persetujuan pangguna sing eksplisit kanggo owah-owahan level kode.

Intis Poin Penting

  1. Kerusakan rantai pasokan bisa nyuntik kode jahat langsung menyang pembaruan perangkat lunak sing sah.
  2. Saran cepet lan peluncuran patch, bebarengan karo jaminan ganti rugi sing diumumake publik, penting banget kanggo ngendhaleni kerusakan.
  3. Lingkungan ekstensi peramban tetep rentan; pangguna kudu mikirake alternatif hardware utawa multi-sig kanggo simpenan gedhe.

Komentar (0)

Dadi anggota VIP

Gabung karo buletin kita

Langganan kanggo nampa kabar paling anyar, tips gratis, lan tawaran eksklusif!

Jason nembe wae dadi anggota VIP!
Dadi anggota

Tawaran winates

Cepet entuk diskon 20% kanggo langganan VIP!
00:00:00

Entuk diskon

Entuk sinyal dina dina iki

Siji sinyal BTC/ETH sing paling anyar saka saluran kita — gratis.
Priksa kepiye cara kerjane sadurunge mlebu VIP.

Mlebu menyang saluran Telegram Tanpa spam — mung gagasan dagang.