Bug serius pada ekstensi Trust Wallet: bagaimana $6 juta dalam crypto berada dalam bahaya dan mengapa versi 2.69 menjadi mendesak

Apa yang Terjadi: Peneliti blockchain dan pengguna minggu ini melaporkan kehilangan dana secara massal yang terkait dengan satu versi ekstensi browser dari dompet non-kustodial yang populer. Berdasarkan perkiraan awal dari para analis, kerugian mencapai lebih dari $6 juta di berbagai blockchain, dan jumlah dompet yang terdampak mencapai ratusan. Perusahaan merespons secara cepat dengan menghapus versi bermasalah dan merilis perbaikan kritis.

Ekstensi Trust Wallet: ketika keamanan terbukti rentan

Perusahaan secara resmi mengumumkan penemuan celah keamanan kritis yang hanya mempengaruhi versi 2.68 dari Browser Extension. Masalah ini memaksa mereka untuk segera menonaktifkan ekstensi dan mengimplementasikan pembaruan ke versi 2.69, yang tersedia melalui Chrome Web Store resmi.

Perlu dicatat bahwa kekurangan ini tidak mempengaruhi:

• Pengguna versi mobile dari dompet
• Pengguna desktop dengan versi ekstensi lain
• Infrastruktur utama platform

Perusahaan menginstruksikan pengguna untuk segera berhenti menggunakan versi 2.68 dan menahan diri dari membuka ekstensi sampai pembaruan diterapkan.

Pencuri langsung mencuri uang setelah otorisasi

Sinyal pertama tentang masalah ini datang dari peneliti independen yang mengamati pergerakan aset yang tidak biasa dari pengguna yang baru-baru ini berinteraksi dengan ekstensi di Chrome. Pengguna yang terdampak melaporkan bahwa dana mereka langsung dipindahkan setelah otorisasi transaksi di ekstensi.

Pencurian ini meliputi beberapa blockchain:

• Ethereum dan jaringan kompatibel EVM
• Solana
• Bitcoin

Kedekatan waktu antara peluncuran versi 2.68 dan aktivasi pencurian menunjukkan hubungan sebab-akibat langsung. Meskipun Trust Wallet tidak mengungkapkan jumlah pasti, para peneliti menemukan sekitar seratus akun dengan pengeluaran yang tidak biasa.

Kecurigaan terhadap kompromi dalam rantai distribusi

Para ahli keamanan menyatakan dugaan bahwa kode berbahaya mungkin telah disisipkan selama proses pengembangan atau distribusi versi 2.68. Jika penyerang berhasil mempengaruhi tahap pengumpulan atau penyebaran ekstensi, mereka akan mendapatkan akses untuk menyadap operasi penting dompet — seperti penandatanganan transaksi atau konfirmasi sesi.

Teori ini sejalan dengan transfer anonim yang diamati pengguna ke alamat yang tidak dikenal tanpa anomali lain yang terlihat. Trust Wallet mengumumkan bahwa mereka telah memulai penyelidikan dan berjanji akan mengungkapkan temuan lebih rinci nanti.

Urutan tindakan untuk pengguna

Dompet merekomendasikan langkah-langkah mendesak:

• Matikan ekstensi Trust Wallet di Chrome
• Aktifkan mode pengembang
• Paksa upgrade ke versi 2.69
• Konfirmasi nomor versi sebelum penggunaan lebih lanjut

Perusahaan menekankan pentingnya mengunduh pembaruan hanya melalui toko Chrome resmi, bukan dari sumber alternatif.

Kerentanan sistemik di dunia dompet kripto

Peristiwa ini mengungkap masalah yang lebih dalam: bahkan dompet non-kustodial pun bisa menjadi target jika saluran distribusinya dikompromikan. Ekstensi browser menimbulkan risiko khusus:

• Memiliki akses langsung ke kunci privat dan permintaan konfirmasi
• Beroperasi di lingkungan dengan risiko phishing dan skrip berbahaya
• Membutuhkan pembaruan rutin, memperluas bidang serangan

Berbeda dengan kerentanan kontrak pintar, kompromi dompet tidak melibatkan mekanisme perlindungan on-chain, dan kerugian bersifat tidak dapat dikembalikan. Mengingat Trust Wallet memiliki lebih dari 220 juta pengguna di seluruh dunia, bahkan masalah terbatas pada satu versi saja akan memiliki dampak reputasi yang berkepanjangan.