Ekstensi Chrome Trust Wallet Mengalami Pelanggaran Keamanan Besar, Kerugian Lebih dari $4,3 Juta

Pelaksanaan pelanggaran keamanan besar telah mengompromikan ekstensi Chrome Trust Wallet, mengekspos pengguna terhadap kerugian keuangan yang signifikan. Setelah peluncuran versi 2.68.0, banyak pemilik dompet melaporkan saldo cryptocurrency mereka cepat terkuras setelah mengimpor frase seed ke ekstensi yang terkompromi. Insiden ini menyoroti kerentanan kritis dalam solusi dompet berbasis browser dan memicu kekhawatiran luas di komunitas kripto tentang protokol keamanan berbasis ekstensi.

Serangan Terungkap: Target Terkoordinasi terhadap Multiple Aset

Peneliti blockchain ZachXBT melakukan penyelidikan mendalam terhadap pelanggaran keamanan tersebut dan menemukan pola serangan yang sangat terkoordinasi. Serangan ini secara khusus menargetkan kepemilikan Bitcoin, Ethereum, dan BNB di berbagai dompet yang terkompromi. Yang membedakan pelanggaran ini adalah sifat agresif dari serangan—alih-alih secara perlahan menyedot dana, pelaku mengosongkan seluruh saldo dompet dalam satu transaksi dalam hitungan detik setelah kompromi.

Analisis transaksi mengungkapkan operasi yang canggih. Setelah membersihkan setiap dompet, aset yang dicuri dengan cepat didistribusikan ke berbagai alamat perantara. Strategi redistribusi ini memiliki dua tujuan: mengaburkan jejak dana dan menyulitkan upaya pelacakan oleh penegak hukum dan peneliti keamanan. Pola transaksi berurutan yang diamati di berbagai akun yang terkompromi menunjukkan adanya orkestrasi yang hati-hati oleh para pelaku.

Melacak Uang: Kerugian Terkonfirmasi sebesar $4,3 Juta

Investigasi ZachXBT mengidentifikasi alamat utama yang mengumpulkan dana dari puluhan dompet yang terkompromi, dengan perkiraan kerugian tercatat sekitar $4,3 juta. Namun, angka ini hanya mencakup transaksi yang dapat dilacak secara publik dan insiden yang dilaporkan secara eksplisit. Kerusakan sebenarnya kemungkinan melebihi angka ini, karena banyak pengguna yang terdampak mungkin tidak segera mengungkapkan kerugiannya.

Penelitian ini mengidentifikasi karakteristik khas dari alamat yang dikendalikan pelaku: pola penarikan yang konsisten, konsolidasi aset secara sistematis, dan pergerakan dana yang cepat ke alamat lebih lanjut. Tanda-tanda perilaku ini memperkuat kesimpulan bahwa pelanggaran ini disebabkan oleh satu operasi terkoordinasi, bukan beberapa insiden independen.

Tanggapan Trust Wallet dan Patching Keamanan

Menyadari tingkat keparahan situasi, tim pengembang Trust Wallet merilis pernyataan resmi pada akhir 2025, secara terbuka mengidentifikasi penyebab utama sebagai kerentanan keamanan yang spesifik pada versi ekstensi browser 2.68. Pernyataan tersebut menekankan bahwa masalah ini tidak mempengaruhi platform atau implementasi Trust Wallet lainnya.

Tim langsung mengeluarkan instruksi bagi pengguna yang terdampak: nonaktifkan ekstensi yang terkompromi segera dan tingkatkan ke versi 2.69, yang mengandung patch keamanan yang diperlukan. Respons cepat ini—mengidentifikasi kerentanan, mengembangkan perbaikan, dan merilisnya—menunjukkan urgensi yang diambil Trust Wallet dalam menangani pelanggaran ini. Selain itu, tim berkomitmen untuk penyelidikan berkelanjutan guna memahami bagaimana kerentanan ini dieksploitasi dan mencegah insiden serupa di masa depan.

Implikasi Keamanan Ekstensi Browser

Pelanggaran keamanan ini telah memicu kembali diskusi penting tentang risiko inheren dari dompet cryptocurrency berbasis browser. Berbeda dengan dompet perangkat keras atau aplikasi yang diinstal secara lokal dengan eksposur jaringan terbatas, ekstensi browser beroperasi dalam konteks browser dan memiliki akses ke informasi sensitif seperti frase seed saat pengguna memasukkannya.

Insiden ini mengungkapkan tantangan fundamental: bahkan proyek yang dihormati seperti Trust Wallet dapat menghadapi kerentanan tak terduga. Frase seed—yang berfungsi sebagai kunci utama untuk semua dana dompet—menjadi sangat rentan ketika diketik ke dalam aplikasi apa pun, termasuk ekstensi browser. Pengguna yang memasukkan frase seed mereka ke ekstensi yang terkompromi secara efektif menyerahkan kendali penuh atas aset mereka kepada pelaku.

Pelajaran Keamanan dan Rekomendasi Pengguna

Pelanggaran keamanan Trust Wallet ini menegaskan beberapa prinsip keamanan penting bagi pemilik cryptocurrency:

Jangan pernah berbagi frase seed: Frase seed tidak boleh pernah dimasukkan ke dalam aplikasi online apa pun, termasuk ekstensi browser, kecuali benar-benar diperlukan dan setelah memverifikasi keabsahan aplikasi tersebut.

Verifikasi sumber ekstensi: Selalu unduh ekstensi browser langsung dari sumber resmi. Ekstensi palsu yang dirancang agar terlihat sah merupakan risiko terbesar.

Pertimbangkan alternatif: Dompet perangkat keras atau solusi pengelolaan kunci offline memberikan tingkat keamanan yang jauh lebih tinggi untuk kepemilikan cryptocurrency dalam jumlah besar.

Pantau akun secara proaktif: Pemantauan blockchain secara rutin terhadap transaksi keluar yang tidak terduga dapat membantu mendeteksi kompromi sebelum kerugian besar terjadi.

Pelanggaran keamanan ini menjadi pengingat keras bahwa ekosistem cryptocurrency tetap menjadi target bagi penyerang yang canggih, dan pengguna harus menjaga praktik keamanan yang waspada untuk melindungi aset digital mereka.