Ringkesan Kajadian
Dina tanggal 26 Désémber 2025, parantos aya laporan ngeunaan panyorotan dana sacara massal tanpa ijin tina ekstensi panyungsi Chrome Trust Wallet, vérsi 2.68. Salila sababaraha jam sanggeus pembaruan rutin, para pangnyerang ngagunakeun kode jahat dina ekstensi nu sacara senyap nyokot frasa seed jeung konci pribadi. Korban nyaritakeun siphoning dana sacara mendadak dina sababaraha ranté, kalawan analisa on-chain awal nunjukkeun karugian kira-kira $7 juta.
Vektor Serangan jeung Jadwal Waktuna
- 24 Désémber 2025: Vérsi 2.68 dirilis ngaliwatan Chrome Web Store.
- 26 Désémber 2025, 00:15 UTC: Detektif blockchain ZachXBT nginformasikeun komunitas sanggeus ningali gerak dana nu gancang tina dompet nu rupa-rupa.
- 26 Désémber 2025, 02:00 UTC: PeckShield mastikeun siphoning leuwih ti $6 juta, kalayan kira-kira 40% tina aset anu dicolong dicuci ngalangkungan bursa sentralisasi.
- 26 Désémber 2025, 04:30 UTC: Trust Wallet ngaluarkeun panginget pikeun mareuman vérsi 2.68 jeung ngapdet ka vérsi 2.69 anu geus diberesihan.
- 26 Désémber 2025, 07:42 UTC: Trust Wallet mastikeun total karugian sakitar $7 juta sarta jangji kompensasi pinuh ka pangguna.
Analisis TĂ©knis
Pangnyerang nyelapkeun backdoor ranté pasokan ku nyelapkeun instrumentasi PostHog JS kana skrip inti ekstensi. Ieu ngamungkinkeun éksfiltrasi real-time tina seed phrase anu geus didekripsi jeung bahan konci pribadi ka endpoint jahat. Klaster on-chain nuduhkeun yén aset anu dicolong dipisahkeun di antara Bitcoin, Ethereum, Solana, jeung token séjén anu cocog jeung EVM, kalayan hasilna dihimpun kana sakumpulan alamat penarikan leutik saméméhna disalurkeun ka bursa pikeun dirobah jadi fiat.
Mitigasi jeung RĂ©spon
Trust Wallet ngaluarkeun vérsi 2.69, anu ngaleungitkeun kode jahat jeung ngaganti tanda tangan kritis anu dipaké dina pembaruan ekstensi. Pangguna anu kapangaruhan diparéntah pikeun dicabut hak aksés ekstensi, mindahkeun sésa aset ka dompet énggal, sarta ngaktipkeun oténtikasi dua faktor lamun sayogi. Pendirina Binance, Changpeng Zhao (CZ), sacara umum ngajamin ganti rugi tina dana SAFU. Perusahaan kaamanan independen keur marios kode jeung ngawas kamungkinan kerentanan sésa.
Implikasi Nu leuwih Lega
Kajadian ieu negeskeun résiko anu leuwih luhur ngeunaan ekstensi dompet berbasis panyungsi. Beda jeung hardware atawa klien desktop nu mandiri, ekstensi panyungsi jalan dina kontéks kaamanan panyungsi, nu ngaronjatkeun luas papanggihan serangan. Ahli nyarankeun maké dompet hardware atawa solusi account-abstraction anu nerapkeun kalemahan transaksi sarta merlukeun persetujuan pangguna sacara eksplisit pikeun parobahan tingkat kode.
Hal-Hal Konci
- Kompromi ranté pasokan tiasa nyuntikkeun kode jahat langsung kana pembaruan perangkat lunak anu sah.
- Anjuran anu gancang jeung panyebaran patch, digabung jeung jaminan kompensasi publik, penting pikeun ngendalikeun karusakan.
- Lingkungan ekstensi browser tetep rawan; pangguna kedah mertimbangkeun alternatif hardware atawa multi-sig pikeun kepemilikan gedé.
Komentar (0)