#钱包安全漏洞 Melihat lubang besar sebesar 6 juta dolar di Trust Wallet kali ini, hati terasa sedikit berat. Bukan karena masalahnya besar, tetapi karena pola ini terlalu akrab.

Kembali ke tahun 2022, saya menyaksikan sendiri beberapa momen kritis terkait keamanan dompet plugin. Saat itu, celah Demonic menyapu MetaMask dan Phantom, kunci pribadi bocor di memori secara terbuka, saya ingat banyak orang bertanya di grup apakah harus tetap menggunakannya. Kemudian Trust Wallet sendiri mengungkap celah WebAssembly, meskipun hanya 170.000 dolar, sikap kompensasinya justru memenangkan kepercayaan. Setelah tiga tahun, melihat kembali kejadian di versi 2.68 ini, rasanya seperti sejarah berulang di dimensi tertentu.

Namun, jika teliti menelusuri data, akan ditemukan bahwa esensi masalah perlahan berubah. Selama bertahun-tahun, celah resmi langsung dari dompet plugin sebenarnya semakin berkurang, yang benar-benar menyebabkan bencana besar bukanlah kode itu sendiri, melainkan aplikasi palsu dan skema phishing. MetaMask dari 2023 hingga sekarang tidak pernah mengungkap celah keamanan langsung, tetapi kejadian pencurian pengguna malah meningkat, penyebabnya adalah perangkat lunak palsu dan serangan phishing. Ledakan di toko Firefox itu adalah bukti terbaik.

Saya telah melihat terlalu banyak proyek yang dari garis pertahanan teknis yang kokoh beralih ke keruntuhan pasar. Trust Wallet dengan pangsa pasar 35% dan 17 juta pengguna aktif bulanan, volume sebesar itu sendiri sudah menjadi target utama. Para hacker menjadi lebih cerdas, tidak lagi berjuang mati-matian melawan kode resmi, melainkan beralih ke rantai pasokan dan perilaku pengguna. Bagaimana cara melindungi dompet resmi? Meniru perangkat lunak palsu; bagaimana mengirim peringatan keamanan? Mengirim tautan phishing secara tepat sasaran. Ini adalah perlombaan senjata yang tidak seimbang.

Sekarang, jika melihat kembali, dari sistem bounty bug tahun 2022 hingga gelombang gugatan kolektif tahun 2025, seluruh ekosistem sedang mengalami perubahan. Beberapa proyek belajar memberikan kompensasi cepat dan komunikasi transparan, sementara yang lain saling menyalahkan di pengadilan. Kalimat Phantom "Dompet non-custodial, tanggung jawab di pengguna" secara harfiah tidak salah, tetapi jika pengguna bahkan tidak bisa membedakan mana yang asli dan palsu, maka logika sekuat apapun tidak akan mampu menjaga kepercayaan.

Kembali ke kondisi saat ini, saran saya sebenarnya sangat sederhana: saluran resmi Chrome Web Store adalah satu-satunya benteng yang terpercaya. Tapi masalahnya, mereka yang memahami prinsip ini biasanya sudah melewati masa bear market 2017, yang benar-benar perlu dilindungi adalah mereka yang baru masuk. Setiap kali kejadian seperti ini terjadi, semakin banyak orang akan terdorong ke bursa terpusat, ironisnya, ini justru menjadi solusi awal dari masalah tersebut. Jejak sejarah terkadang berjalan begitu aneh.