Trust Wallet Menghadapi Gelombang Klaim Penipuan Setelah Peretasan Ekstensi Chrome Senilai $7 Juta

CEO Eowyn Chen mengungkapkan pada hari Senin bahwa Trust Wallet mengidentifikasi 2.596 alamat dompet yang dikompromikan dari peretasan 24 Desember. Namun, perusahaan menerima hampir 5.000 klaim untuk penggantian—perbedaan yang menunjukkan pengajuan penipuan secara massal.

"Karena hal ini, verifikasi kepemilikan dompet yang akurat sangat penting untuk memastikan dana dikembalikan kepada orang yang tepat," kata Chen. "Tim kami bekerja dengan tekun untuk memverifikasi klaim; menggabungkan berbagai titik data untuk membedakan korban yang sah dari pelaku jahat."

Kesenjangan besar antara korban aktual dan total klaim telah memaksa Trust Wallet untuk meninggalkan kecepatan demi akurasi, menandai perubahan operasional signifikan dalam salah satu insiden keamanan kripto paling mencolok tahun ini.

Bagaimana Serangan Terjadi

Pelanggaran dimulai ketika penyerang memperoleh kunci API Chrome Web Store yang bocor, memungkinkan mereka melewati pemeriksaan keamanan internal Trust Wallet. Pada 24 Desember pukul 12:32 siang UTC, versi 2.68 yang dikompromikan dari ekstensi Chrome ditayangkan di toko resmi Google.

Menurut analisis perusahaan keamanan blockchain SlowMist, kode berbahaya disembunyikan dengan hati-hati di dalam pustaka analitik yang dimodifikasi bernama posthog-js. Ketika pengguna membuka kunci dompet mereka, kode tersebut secara diam-diam mengekstrak seed phrase mereka—kunci utama dompet cryptocurrency—dan mengirimkannya ke server yang dikendalikan oleh penyerang.

Domain yang digunakan untuk mengumpulkan data yang dicuri, "api.metrics-trustwallet.com," didaftarkan pada 8 Desember, menunjukkan serangan direncanakan setidaknya dua minggu sebelumnya. Investigator cryptocurrency ZachXBT pertama kali menandai masalah tersebut pada Hari Natal setelah ratusan pengguna melaporkan dompet yang dikuras.

Sumber: @EowynChen

Trust Wallet merilis versi 2.69 yang diperbaiki pada 25 Desember. Pelanggaran hanya memengaruhi pengguna ekstensi Chrome yang masuk sebelum 26 Desember pukul 11 pagi UTC. Pengguna aplikasi seluler dan versi browser lainnya tetap aman.

Pertanyaan Orang Dalam

Beberapa tokoh industri telah menyuarakan kekhawatiran tentang kemungkinan keterlibatan orang dalam dalam serangan tersebut. Co-founder Binance Changpeng Zhao, yang perusahaannya memiliki Trust Wallet, mengatakan eksploitasi tersebut "kemungkinan besar" dilakukan oleh orang dalam, meskipun ia tidak memberikan bukti tambahan.

Co-founder SlowMist Yu Xian mencatat bahwa penyerang menunjukkan pengetahuan rinci tentang kode sumber ekstensi dan telah menyiapkan infrastruktur beberapa minggu sebelum melaksanakan pencurian. Kemampuan untuk mendapatkan dan menyalahgunakan kunci API Chrome Web Store menunjukkan baik perangkat pengembang yang dikompromikan atau izin deployment yang dicuri.

Chen mengkonfirmasi perusahaan sedang melakukan investigasi forensik yang lebih luas bersama dengan proses kompensasi tetapi belum mengonfirmasi apakah orang dalam terlibat.

Dana Curian dan Pencucian Uang

Serangan mengakibatkan kerugian sekitar $7 juta di berbagai cryptocurrency, termasuk Bitcoin, Ethereum, dan Solana. Perusahaan keamanan blockchain PeckShield melacak lebih dari $4 juta dana curian yang bergerak melalui exchange terpusat seperti ChangeNOW, FixedFloat, dan KuCoin. Sekitar $2,8 juta tetap berada di dompet yang dikendalikan penyerang per 26 Desember.

Pergerakan dana yang cepat melalui berbagai exchange dan jaringan blockchain telah memperumit upaya pemulihan dan membuat pelacakan penyerang lebih sulit.

Proses Kompensasi Dalam Pengawasan

Pendiri Binance Zhao telah berkomitmen untuk menutup semua kerugian yang terverifikasi, menyatakan "dana pengguna adalah SAFU"—istilah industri kripto yang berarti "Secure Asset Fund for Users." Namun, proses verifikasi telah menjadi lebih kompleks dari yang diharapkan semula.

Trust Wallet mengharuskan pengguna yang terkena dampak untuk mengirimkan informasi rinci melalui formulir dukungan resmi, termasuk alamat email, alamat dompet yang dikompromikan, alamat penyerang, dan hash transaksi. Perusahaan menekankan bahwa akurasi sekarang lebih diprioritaskan daripada kecepatan.

Lonjakan klaim palsu menyoroti masalah berulang dalam insiden keamanan cryptocurrency. Meskipun transparansi blockchain memungkinkan insiden untuk dilacak, menghubungkan alamat dompet dengan pengguna terverifikasi tanpa catatan terpusat tetap menantang. Ketegangan ini menjadi akut ketika jutaan dolar dipertaruhkan.

Chen mengatakan tim menggabungkan beberapa metode verifikasi untuk menilai klaim tetapi tidak merinci kriteria spesifik yang digunakan. Fase verifikasi menandai tes kritis apakah Trust Wallet dapat berhasil menyaring pengajuan penipuan sambil mempertahankan kepercayaan di antara korban asli.

Peringatan Tentang Penipuan Sekunder

Trust Wallet mengeluarkan peringatan mendesak tentang penipu yang mengeksploitasi situasi. Perusahaan melaporkan melihat formulir kompensasi palsu disebarkan melalui iklan Telegram, akun dukungan palsu, dan pesan langsung yang meminta kunci privat atau seed phrase.

Proses kompensasi resmi tidak pernah meminta kata sandi, kunci privat, atau recovery phrase. Pengguna hanya harus mengirimkan klaim melalui portal dukungan terverifikasi Trust Wallet di trustwallet-support.freshdesk.com. Komunikasi lain yang mengklaim menawarkan penggantian harus diperlakukan sebagai penipuan.

Gelombang penipuan sekunder ini menambah lapisan risiko lain bagi korban yang sudah berurusan dengan dana yang dicuri. Perusahaan menekankan bahwa pengguna harus memverifikasi semua komunikasi berasal dari saluran resmi Trust Wallet sebelum mengambil tindakan apa pun.

Implikasi Keamanan yang Lebih Luas

Insiden Trust Wallet sesuai dengan pola serangan rantai pasokan yang lebih besar yang menargetkan pengguna cryptocurrency pada tahun 2024. Menurut data Chainalysis, pencurian cryptocurrency mencapai $6,75 miliar pada tahun 2024, dengan kompromi dompet pribadi melonjak menjadi 158.000 dari 64.000 tahun sebelumnya.

Ekstensi browser menghadirkan tantangan keamanan unik karena mereka beroperasi dengan izin yang ditinggikan dan dapat mengakses data pengguna sensitif. Satu pembaruan yang dikompromikan dapat memengaruhi ratusan ribu pengguna dalam hitungan jam.

Insiden ini juga menunjukkan bagaimana proses verifikasi yang lemah dapat mengubah satu pelanggaran keamanan menjadi beberapa masalah. Trust Wallet sekarang harus mendedikasikan sumber daya signifikan untuk menyaring klaim palsu sementara korban asli menunggu kompensasi.

Ekstensi Chrome Trust Wallet memiliki sekitar satu juta pengguna menurut daftar resminya, meskipun eksposur praktis tergantung pada berapa banyak orang yang menginstal versi 2.68 dan memasukkan data sensitif selama jendela kerentanan.

Jalan ke Depan

Trust Wallet telah mengambil beberapa langkah untuk mencegah insiden di masa depan. Perusahaan mengakhiri semua API rilis untuk memblokir pembaruan versi yang tidak sah selama dua minggu ke depan. Domain berbahaya yang digunakan untuk mengumpulkan data yang dicuri dilaporkan ke pendaftarnya dan segera ditangguhkan.

Namun, pertanyaan tetap ada tentang bagaimana penyerang memperoleh kunci API Chrome Web Store dan apakah langkah-langkah keamanan tambahan akan diterapkan. Investigasi forensik yang sedang berlangsung mungkin memberikan jawaban, tetapi Trust Wallet belum mengumumkan perubahan spesifik pada proses rilisnya.

Untuk pengguna cryptocurrency, insiden ini memperkuat pentingnya memperlakukan pembaruan dompet dengan sangat hati-hati. Ahli keamanan merekomendasikan menunggu konfirmasi komunitas sebelum menginstal pembaruan dan mempertimbangkan dompet perangkat keras untuk kepemilikan yang signifikan.

Proses kompensasi terus berlanjut saat Trust Wallet menangani ribuan klaim. Kemampuan perusahaan untuk secara akurat mengidentifikasi korban yang sah sambil memblokir pengajuan penipuan kemungkinan akan memengaruhi bagaimana penyedia dompet lain menangani insiden keamanan di masa depan.

Pemeriksaan Realitas

Pelanggaran Trust Wallet mengekspos dua kerentanan kritis dalam keamanan cryptocurrency: serangan rantai pasokan dapat melewati bahkan sistem keamanan yang dirancang dengan baik, dan proses kompensasi itu sendiri menjadi target penipuan. Saat Trust Wallet menavigasi verifikasi hampir 5.000 klaim untuk 2.596 korban aktual, insiden ini berfungsi sebagai pengingat mahal bahwa dalam keamanan kripto, pembersihan bisa sama menantangnya dengan pelanggaran itu sendiri.