#钱包安全风险与攻击事件 Pada dini hari hari Natal, ekstensi browser Trust Wallet versi 2.68 diretas. Lebih dari 6 juta dolar aset disedot dalam beberapa jam, satu dompet paling parah kehilangan 3,5 juta dolar, dan dompet itu sudah tidak aktif selama setahun—peretas bahkan tidak melewatkan dompet yang tidur.

Setelah melihat analisis teknis dari SlowFog, saya menarik kesimpulan: ini bukan sekadar pencemaran paket pihak ketiga biasa, melainkan serangan profesional tingkat APT. Penyerang mungkin sudah mendapatkan hak pengembangan atau hak penerbitan sejak 8 Desember, lalu langsung menyisipkan backdoor ke dalam kode, dan menggunakan alat legal seperti PostHog untuk diam-diam mengirimkan mnemonic pengguna ke server berbahaya.

Peristiwa ini memberi saya peringatan yang sangat dalam:

**Pertama, dompet ekstensi browser selalu merupakan area risiko tinggi.** Ini seperti menaruh kunci privat di tempat terbuka, selama ada yang bisa mengendalikan kode, semuanya berakhir. Prinsip saya sekarang adalah, ekstensi browser saya gunakan untuk melihat saldo dan berinteraksi dengan kontrak, tapi saya pasti tidak akan menggunakannya untuk menyimpan aset besar dalam jangka panjang.

**Kedua, nomor versi tidak akan menipu.** Jangan ragu saat ada pembaruan versi baru, tapi juga jangan terburu-buru memperbarui secara buta. Respon resmi Trust Wallet saat itu cukup cepat, begitu versi 2.69 keluar, langsung harus diganti. Banyak korban kali ini yang menggunakan versi 2.68, pelajaran pahit.

**Ketiga, yang paling kejam adalah, meskipun dompetmu tidur selama dua tahun, peretas tetap akan membongkar peti matimu.** Apa artinya ini? Artinya perlindungan keamanan bukanlah sesuatu yang bisa selesai sekali saja. Kamu harus rutin memeriksa, rutin memperbarui, bahkan mempertimbangkan migrasi.

Sekarang Trust Wallet memulai proses kompensasi, tapi ini bukan fokus utama. Intinya adalah agar tetap hidup panjang, harus lebih berhati-hati dari peretas. Jika kamu masih menggunakan dompet ekstensi browser untuk menyimpan uang besar, saatnya bertindak sekarang.