Peretasan Ekstensi Trust Wallet Senilai $7 Juta: Semua yang Perlu Anda Ketahui

Dompet Kepercayaan dikonfirmasi Bahwa pembaruan berbahaya pada ekstensi browser Chrome resminya menyebabkan pencurian sekitar $7 juta dana pengguna. Pelanggaran tersebut hanya memengaruhi satu versi ekstensi, yaitu versi 2.68, dan melibatkan penyerang yang mencuri frasa kunci dompet melalui kode berbahaya yang tertanam. Menurut laporan, pengguna seluler dan versi browser lainnya tidak terpengaruh.

Apa yang Terjadi dalam Peretasan Ekstensi Trust Wallet?

Insiden ini dimulai pada 24 Desember 2025, ketika Trust Wallet merilis versi 2.68.0 dari ekstensi Chrome-nya. Awalnya, pengguna melaporkan kerugian yang terjadi secara sporadis. Dompet terkuras tak lama setelah diakses atau diimpor melalui ekstensi tersebut. Apa yang tampak seperti kasus terisolasi dengan cepat mengarah pada masalah yang lebih luas.

Pada Hari Natal, investigator on-chain ZachXBT dikeluarkan Sebuah peringatan publik dikeluarkan saat dana curian masih beredar di blockchain. Dia menghubungkan pengurasan dompet secara langsung dengan pembaruan v2.68. Analisisnya membantu menetapkan bahwa ini bukan kesalahan pengguna atau phishing, melainkan ekstensi browser yang disusupi.

Pada tanggal 26 Desember, Trust Wallet mengkonfirmasi pelanggaran tersebut. Perusahaan menyatakan bahwa hanya versi 2.68 yang terpengaruh dan mendesak pengguna untuk segera memperbarui ke versi 2.69. Ekstensi Chrome tersebut memiliki sekitar satu juta pengguna, menurut daftar di Chrome Web Store.

Trust Wallet kemudian mengkonfirmasi bahwa sekitar $7 juta aset digital telah dicuri di berbagai blockchain.

Pengguna mana yang terpengaruh?

Hanya pengguna yang menginstal atau masuk ke ekstensi Chrome Trust Wallet versi 2.68 sebelum tanggal 26 Desember pukul 11:00 UTC yang berisiko.

Menurut Trust Wallet dan para peneliti keamanan:

• Pengguna aplikasi seluler tidak terpengaruh.
• Versi ekstensi browser lainnya tidak terpengaruh.
• Dompet yang diakses melalui versi 2.68 dapat sepenuhnya diretas.

Dalam banyak kasus, dompet dikosongkan dalam hitungan menit setelah membuka kunci ekstensi atau mengimpor frasa kunci. Ratusan dompet terpengaruh, termasuk alamat Bitcoin, Ethereum, dan Solana.

CEO Trust Wallet, Eowyn Chen, mengkonfirmasi bahwa pengguna yang masuk selama periode yang terdampak harus menganggap dompet mereka telah terekspos dan membuat dompet baru.

Bagaimana Cara Kerja Kode Berbahaya Tersebut?

Menurut perusahaan keamanan blockchain Kabut LambatSerangan tersebut bukan disebabkan oleh pustaka pihak ketiga yang berbahaya. Sebaliknya, penyerang secara langsung memodifikasi kode ekstensi Trust Wallet sendiri. Logika berbahaya tersebut disematkan dalam komponen analitik ekstensi tersebut.

Temukan Proyek yang Menjanjikan...

Proyek yang Menjanjikan...

(Iklan)

Artikel berlanjut...

Beginilah cara kerjanya:

• Kode tersebut mengulangi proses melalui semua dompet yang tersimpan di ekstensi.
• Hal ini memicu permintaan frasa mnemonik untuk setiap dompet.
• Saat pengguna membuka kunci dompet, frasa kunci terenkripsi tersebut didekripsi.
• Kode mnemonik yang telah didekripsi dikirim ke server yang dikendalikan oleh penyerang.

Data tersebut dieksfiltrasi ke api.metrics-trustwallet[.]com. Domain tersebut terdaftar pada tanggal 8 Desember 2025. Permintaan ke server dimulai pada tanggal 21 Desember, beberapa hari sebelum pembaruan berbahaya tersebut diterbitkan.

Penyerang menggunakan pustaka analitik sumber terbuka yang sah bernama posthog-js sebagai kedok. Alih-alih mengirim data ke titik akhir analitik yang benar, lalu lintas dialihkan ke server penyerang.

SlowMist menyatakan bahwa ini adalah kompromi kode internal, bukan dependensi yang bermasalah.

Bagaimana Ekstensi yang Terkompromi Itu Bisa Dipublikasikan?

Investigasi internal Trust Wallet menemukan kegagalan kritis dalam proses rilisnya. Menurut CEO Eowyn Chen, kunci API Chrome Web Store yang bocor digunakan untuk menerbitkan versi berbahaya tersebut.

Ekstensi yang disusupi diunggah pada tanggal 24 Desember pukul 12:32 siang UTC. Hal ini melewati pemeriksaan internal normal Trust Wallet.

Hal ini menunjukkan bahwa penyerang tidak mengeksploitasi pengguna secara langsung. Sebaliknya, mereka mengeksploitasi infrastruktur distribusi. Serangan rantai pasokan seperti ini lebih sulit dideteksi karena perangkat lunak tersebut tampak resmi dan tepercaya.

Berapa Banyak Uang yang Dicuri dan Ke Mana Dana Itu Pergi?

Trust Wallet dan para peneliti independen memperkirakan total kerugian mencapai sekitar $7 juta.

Rincian aset curian yang diketahui meliputi:

• Sekitar $3 juta Bitcoin
• Lebih dari $3 juta dalam Ethereum
• Jumlah yang lebih kecil dalam beranda dan aset lainnya

Menurut PeckPerisai dan ZachXBT, dana curian tersebut dengan cepat dicuci.

Gerakan-gerakan utama meliputi:

• Sekitar $3.3 juta dikirim ke ChangeNOW.
• Sekitar $340,000 dikirim ke FixedFloat
• Sekitar $447,000 dikirim ke KuCoin.

Lebih dari $4 juta telah melewati bursa terpusat. Berdasarkan pembaruan terakhir, sekitar $2.8 juta masih tersisa di dompet yang dikendalikan oleh penyerang.

Pola ini mencerminkan kasus-kasus peretasan dompet lainnya, di mana penyerang menggunakan layanan pertukaran instan dan jembatan untuk mengurangi kemampuan pelacakan.

Rencana Tanggapan dan Kompensasi Trust Wallet

Trust Wallet segera merilis perbaikan. Versi 2.69 dirilis pada 25 Desember untuk menghapus kode berbahaya tersebut. Pengguna diimbau untuk segera menonaktifkan versi 2.68.

Perusahaan tersebut juga meluncurkan program kompensasi formal.

Pengguna yang terdampak dapat mengajukan klaim melalui formulir dukungan resmi di situs web Trust WalletProses ini membutuhkan:

• Alamat email
• Negara tempat tinggal
• Alamat dompet yang diretas
• Penyerang menerima alamat
• Hash transaksi yang relevan

Trust Wallet menyatakan bahwa setiap klaim akan diverifikasi secara individual.

"Kami bekerja tanpa henti untuk menyelesaikan detail proses kompensasi dan setiap kasus memerlukan verifikasi yang cermat untuk memastikan keakuratan dan keamanan," kata perusahaan tersebut.

Changpeng Zhao, salah satu pendiri dan mantan CEO Binance, yang mengakuisisi Trust Wallet pada tahun 2018, mengkonfirmasi bahwa kerugian akan ditanggung.

Mengapa Peretasan Ini Penting untuk Keamanan Dompet?

Insiden ini menyoroti risiko yang berulang di dunia kripto. Bahkan dompet non-kustodian pun bergantung pada saluran distribusi perangkat lunak. Ketika saluran tersebut gagal, pengguna dapat kehilangan segalanya.

Peretasan Trust Wallet mengikuti pola yang lebih luas yang terlihat di seluruh industri. Awal tahun ini, Coinbase mengungkapkan bahwa mereka akan mengganti kerugian lebih dari $400 juta setelah pelanggaran terpisah yang terkait dengan penyuapan staf dukungan di India.

Metode serangan berbeda, hasil yang sama. Asumsi kepercayaan runtuh di bagian tepinya.

Bagi pengguna, hal ini memperkuat aturan keamanan dasar:

• Perlakukan ekstensi peramban sebagai perangkat lunak berisiko tinggi.
• Segera perbarui saat perbaikan dirilis.
• Pindahkan dana jika dompet mungkin telah disusupi.
• Jangan pernah menggunakan kembali frasa kunci yang telah terekspos.

Bagi penyedia dompet digital, pelajarannya adalah tentang keamanan rilis. Kunci API, alur kerja pembuatan aplikasi, dan kredensial penyimpanan kini menjadi target utama serangan.

Kesimpulan

Peretasan ekstensi Trust Wallet senilai $7 juta tersebut merupakan akibat dari kompromi rantai pasokan, bukan kesalahan pengguna. Kode berbahaya yang tertanam dalam versi 2.68 ekstensi Chrome tersebut mengambil frasa kunci dan menguras dompet di berbagai blockchain. 

rust Wallet merespons dengan menghapus versi yang terpengaruh, merilis perbaikan, dan berkomitmen untuk penggantian penuh. Insiden ini menggarisbawahi bagaimana ekstensi peramban tetap menjadi permukaan serangan kritis di dunia kripto dan mengapa pengguna dan pengembang harus memperlakukan keamanan distribusi sama seriusnya dengan manajemen kunci pribadi.

Publikasi

1. Dompet Kepercayaan pada X:Pengumuman pada 26 Desember

2. Postingan paling lambat di XLaporan tentang eksploitasi Trust Wallet

3. Postingan PeckShield di X: Tentang eksploitasi Trust Wallet