#钱包安全漏洞 melihat Trust Wallet ini, hal pertama yang terlintas di pikiran saya adalah kejadian The DAO pada tahun 2016. Saat itu juga merupakan celah tingkat kode sumber, dan terjadi di saat yang paling tidak tepat—sebelum dan sesudah Natal, hacker dengan tepat memilih jendela waktu. Sejarah ini begitu mirip sehingga membuat hati tidak nyaman.

Kali ini, cara Trust Wallet lebih kejam: 8 Desember melakukan penyusupan, 22 Desember menyisipkan backdoor, 25 Desember mulai memindahkan dana, seluruh ritme dikunci dengan ketat. Penyerang langsung mengubah kode sumber, menggunakan alat legal seperti PostHog sebagai kedok, dan mencuri mnemonic melalui kolom pesan error. Dari segi teknik dan taktik, ini bukan sekadar serangan rantai pasokan biasa, melainkan tingkat APT—hak akses pengembang mungkin sudah lama direbut.

Kerugian lebih dari 6 juta dolar AS sendiri sudah sangat mencengangkan, tetapi yang lebih mengejutkan adalah ini mengungkapkan sebuah dilema mendasar dalam keamanan dompet: bahkan algoritma enkripsi terbaik pun tidak mampu menahan kerusakan internal. Saya telah mengalami berbagai insiden keamanan di dunia kripto selama bertahun-tahun, setiap kali berpikir "Ini pasti yang terakhir," tetapi kenyataannya, selama mekanisme pembaruan terpusat tetap ada, risiko ini selalu ada. MetaMask, imToken, Exodus—dompet-dompet ini pernah mengalami momen menegangkan serupa.

Refleksi utama adalah: beberapa investor masih bertanya, "Apakah dengan upgrade ke versi 2.69 sudah aman?" Saya ingin mengatakan bahwa pertanyaan itu salah tempat. Yang perlu ditanyakan sebenarnya adalah, berapa banyak kepercayaan yang masih Anda berikan kepada pihak ketiga? Para pengguna lama yang benar-benar peduli dengan keamanan, sudah kembali ke dompet perangkat keras atau dompet pengelolaan sendiri. Keterbukaan dan kemudahan penggunaan Trust Wallet dulu menjadi keunggulannya, tetapi di hadapan APT, semua itu berubah menjadi permukaan serangan.

Jika Anda masih menggunakan jenis dompet ekstensi ini, disarankan untuk melakukan tiga hal sekarang juga: segera putus koneksi internet dan periksa, ekspor kunci pribadi ke dompet offline, lalu—pertimbangkan apakah sudah saatnya meninjau kembali rencana pengelolaan aset Anda.