Trust Wallet Diretas: Apa yang Harus Dilakukan Pengguna Kripto Sekarang

Trust Wallet mengatakan sebuah "insiden keamanan" hanya mengenai satu bagian dari produknya: ekstensi browser Chrome versi 2.68. Jika Anda hanya pengguna mobile, perusahaan mengatakan Anda tidak terpengaruh. Jika Anda menggunakan versi ekstensi lainnya, perusahaan mengatakan Anda juga tidak terpengaruh. Masalahnya, menurut kata-kata Trust Wallet sendiri, sangat terbatas ruang lingkupnya, meskipun dampaknya tidak terasa demikian ketika Anda melihat alamat yang telah dikosongkan.

Peringatan publik pertama muncul pada 25 Desember melalui investigator on-chain ZachXBT, yang memposting peringatan Telegram bahwa "sejumlah pengguna Trust Wallet melaporkan bahwa dana mereka telah dikuras dari alamat dompet dalam beberapa jam terakhir."

Dia menekankan bahwa "penyebab pasti belum ditentukan," kemudian menunjukkan kebetulan yang tidak nyaman: "ekstensi Chrome Trust Wallet melakukan pembaruan baru kemarin." Dalam pesan yang sama, dia meminta korban untuk mengirim DM kepadanya di X sehingga dia bisa "memperbarui daftar alamat pencurian di bawah ini saat saya memverifikasi lebih banyak," dan dia mulai mempublikasikan dugaan tujuan pencurian di berbagai chain. Daftarnya mencakup beberapa alamat EVM dan satu alamat Solana.

Trust Wallet Mengkonfirmasi Peretasan

Perusahaan dompet tersebut kemudian mengkonfirmasi insiden di X. "Kami telah mengidentifikasi insiden keamanan yang mempengaruhi Trust Wallet Browser Extension versi 2.68 saja. Pengguna dengan Browser Extension 2.68 harus menonaktifkan dan meningkatkan ke 2.69," tulis perusahaan, menautkan pengguna ke daftar Chrome Web Store resmi.

Perusahaan menambahkan: "Harap diperhatikan: Pengguna mobile-only dan semua versi ekstensi browser lainnya tidak terpengaruh." Postingan ditutup dengan kalimat yang pada akhirnya harus diketik oleh setiap tim keamanan: "Kami memahami betapa mengkhawatirkannya hal ini dan tim kami sedang aktif bekerja pada masalah ini. Kami akan terus membagikan pembaruan sesegera mungkin."

Kemudian panduan menjadi lebih mendesak dan lebih spesifik. Trust Wallet memperingatkan pengguna yang belum memperbarui ke 2.69: "harap jangan membuka Browser Extension sampai Anda telah memperbarui. Ini dapat membantu memastikan keamanan dompet Anda dan mencegah masalah lebih lanjut."

Dalam tindak lanjut, perusahaan menjelaskan langkah demi langkah yang pada intinya: jangan buka ekstensi, buka halaman ekstensi Chrome untuk Trust Wallet, matikan jika masih aktif, aktifkan mode Developer, tekan "Update," dan konfirmasi Anda sudah di versi 2.69 sebelum melakukan hal lain. Ini tidak glamor, tetapi dapat ditindaklanjuti, yang penting ketika Anda dalam mode insiden.

Saat klaim dan klaim balasan berputar, perusahaan keamanan siber PeckShield memberikan angka dolar awal untuk kerusakan. "Eksploitasi Trust Wallet telah menguras >$6M kripto dari korban," tulis PeckShield, menambahkan bahwa sementara sekitar "~$2,8M dari dana yang dicuri masih ada di dompet peretas (Bitcoin/EVM/Solana), sebagian besar – >$4M dalam kripto – telah dikirim ke CEX," dengan rincian "~$3,3M ke ChangeNOW, ~$340K ke Fixed Float, & ~$447K ke Kucoin."

Satu titik tekanan lagi muncul dengan cepat: kompensasi. ZachXBT mengatakan, "Saat ini saya memiliki banyak korban yang prihatin menghubungi saya melalui DM jadi bisakah tim Anda mengklarifikasi apakah Anda akan menawarkan kompensasi untuk pengguna Trust Wallet Browser Extension." Trust Wallet tidak menjawab secara langsung di publik. Sebaliknya, perusahaan menjawab bahwa tim dukungan pelanggannya sudah berhubungan dengan pengguna yang terpengaruh mengenai langkah selanjutnya dan mengarahkan orang untuk menghubungi melalui saluran dukungannya.

Jadi apa yang harus dilakukan pengguna sekarang, dalam istilah sederhana? Jika Anda menggunakan ekstensi versi 2.68, instruksi Trust Wallet adalah berhenti menggunakannya apa adanya: nonaktifkan dan tingkatkan ke 2.69 sebelum Anda membukanya lagi. Jika Anda pikir Anda terpengaruh, perusahaan mengarahkan pengguna ke dukungan, sementara investigator independen ZachXBT meminta laporan untuk membantu memetakan aliran pencurian.

UPDATE: Pendiri Binance Changpeng Zhao mengkonfirmasi melalui X bahwa pengguna akan dikompensasi untuk peretasan ini. "Sejauh ini, $7m terpengaruh oleh peretasan ini. Trust Wallet akan menanggung. Dana pengguna SAFU. Menghargai pengertian Anda atas ketidaknyamanan yang ditimbulkan. Tim masih menyelidiki bagaimana peretas dapat mengirimkan versi baru," tulis Zhao hari ini.

Pada saat pers, total kapitalisasi pasar kripto berada di $2,95 triliun.