Grup Peretas China Bocorkan Operasi Pencurian Kripto Senilai $7 Juta yang Menargetkan Rantai Pasokan Dompet

Sebuah laporan tentang pencurian kripto rantai pasokan dompet tampaknya berasal dari kompromi ekstensi browser Trust Wallet yang nyata, tetapi bukti publik terkuat tidak mengkonfirmasi kelompok peretas yang terkait dengan China atau peristiwa kebocoran terpisah. Yang terverifikasi adalah bahwa rilis ekstensi Trust Wallet berbahaya mengekspos pengguna selama jendela liburan singkat, menunjukkan bagaimana jalur pembaruan perangkat lunak tepercaya dapat berubah menjadi saluran pencurian.

Pemberitahuan keamanan Trust Wallet dan pembaruan komunitasnya kemudian menunjukkan bahwa ekstensi browser versi 2.68 yang tidak sah diterbitkan ke Chrome Web Store pada 24 Desember 2025. Perusahaan mengatakan hanya pengguna yang membuka dan masuk ke versi tersebut antara 24 Desember dan 26 Desember yang terekspos.

Hal ini penting karena serangan rantai pasokan menyerang perangkat lunak yang sudah dipercaya orang, bukannya menipu mereka dengan email palsu atau tautan buruk. Sederhananya, ini lebih mirip dengan pembaruan aplikasi bank yang dirusak daripada penipuan phishing klasik.

Apa yang sebenarnya dikonfirmasi tentang operasi pencurian

Trust Wallet mengatakan telah mengidentifikasi 2.520 alamat dompet yang terdampak dan sekitar $8,5 juta aset yang terdampak terkait dengan 17 alamat yang dikendalikan penyerang. Angka tersebut lebih tinggi dari sekitar $7 juta yang dikutip dalam beberapa laporan awal, yang berarti estimasi kerusakan publik akhir masih tergantung pada sumber dan tanggal mana yang digunakan.

Analisis insiden SlowMist mengatakan kode berbahaya menangkap seed phrase, kata-kata pemulihan rahasia yang mengontrol dompet kripto, setelah pengguna membuka kunci ekstensi. Perusahaan keamanan memperkirakan kerugian awal sekitar 33 BTC ditambah sekitar $3 juta di jaringan Ethereum dan Layer-2, menempatkan total awal mendekati $6 juta pada saat publikasi.

SlowMist juga mengatakan, "Kami memiliki alasan kuat untuk percaya ini adalah serangan tingkat APT profesional." Itu menunjuk pada operasi yang sangat terorganisir, tetapi tidak sama dengan atribusi publik kepada kelompok yang terkait dengan China, dan kumpulan sumber yang tersedia tidak membuat lompatan itu.

Trust Wallet menghubungkan jalur penerbitan dengan kunci API Chrome Web Store yang bocor dan rahasia pengembang GitHub yang terekspos terkait dengan insiden rantai pasokan Sha1-Hulud November 2025. Tautan itu adalah salah satu detail terverifikasi yang paling penting karena menunjukkan kompromi mungkin telah dimulai di hulu, sebelum pengguna mengunduh ekstensi buruk tersebut.

Mengapa serangan rantai pasokan dompet berbeda dari peretasan dompet langsung

Peretasan dompet langsung biasanya menargetkan satu pengguna pada satu waktu melalui phishing, malware, atau kata sandi yang dicuri. Serangan rantai pasokan dompet menargetkan vendor perangkat lunak, saluran pembaruan, atau proses distribusi, yang dapat menempatkan banyak pengguna dalam risiko sekaligus.

Itulah mengapa kasus ini menarik perhatian lebih luas daripada laporan pencurian normal. Jika pelaku jahat dapat memasukkan kode berbahaya ke dalam daftar ekstensi browser resmi, bahkan pengguna yang berhati-hati mungkin tidak menyadari ada yang salah sampai dana sudah hilang.

Industri kripto yang lebih luas sudah memiliki alasan untuk memperlakukan ini sebagai area risiko utama. Laporan keamanan Web3 2025 CertiK mengatakan serangan rantai pasokan adalah vektor serangan paling mahal tahun ini, dengan sekitar $1,45 miliar hilang di dua insiden.

Pembaca yang telah mengikuti risiko infrastruktur lain di coinlineup.com telah melihat pola yang sama dalam bentuk berbeda, baik melalui tekanan makro dalam liputan resesi Bitcoin yang terkait dengan peringatan Moody's atau guncangan leverage mendadak dalam peristiwa likuidasi kripto. Tema umumnya adalah bahwa kepercayaan pada infrastruktur pasar sama pentingnya dengan grafik harga.

Apa artinya ini bagi penyedia dompet dan pengguna biasa

Bagi penyedia dompet, insiden ini meningkatkan tekanan untuk memperkuat kontrol penerbitan app-store, merotasi kredensial dengan cepat, dan mengisolasi rahasia pengembang lebih agresif. Bagi pengguna, pelajaran praktisnya sederhana: pembaruan dari merek tepercaya masih memerlukan pengawasan ketika prompt yang tidak biasa, perilaku ekstensi, atau alur login muncul.

Respons Trust Wallet berfokus pada penggantian dan pembersihan. Cointelegraph melaporkan bahwa Changpeng Zhao, lebih dikenal sebagai CZ dan paling dikenal sebagai mantan CEO Binance, mengatakan Trust Wallet akan menanggung sekitar $7 juta kerugian pengguna setelah eksploitasi Hari Natal, meskipun akuntansi Trust Wallet kemudian menempatkan aset yang terdampak mendekati $8,5 juta.

Konteks pasar masih beragam. Ringkasan riset mencakup pembacaan harga spot 0,530464, tetapi tidak ada pergerakan 24 jam yang terverifikasi, kapitalisasi pasar, atau data volume yang cukup kuat untuk membuktikan respons perdagangan yang jelas, jadi efek pasar yang lebih besar tampaknya adalah kerusakan kepercayaan daripada guncangan harga yang jelas.

Masalah kepercayaan itu penting di luar satu merek dompet. Ketika perusahaan kripto berkembang ke pasar baru, termasuk dorongan produk dan lisensi yang lebih luas yang dijelaskan dalam cerita ekspansi Ripple di Brasil, pengguna diminta untuk mempercayai lebih banyak perangkat lunak, lebih banyak integrasi, dan lebih banyak infrastruktur pihak ketiga.

Kesimpulan sempit bukan bahwa atribusi China dari judul asli telah terbukti. Ini adalah bahwa kasus Trust Wallet yang terverifikasi menunjukkan betapa merusaknya kompromi rantai pasokan dompet, dan mengapa perusahaan dompet dan pemegang sehari-hari perlu memperlakukan ekstensi browser, pembaruan, dan frasa pemulihan sebagai titik keamanan kritis.

Penafian: Artikel ini hanya untuk tujuan informasi dan bukan merupakan nasihat keuangan.

Penafian: Artikel ini hanya untuk tujuan informasi dan bukan merupakan nasihat keuangan atau investasi. Pasar cryptocurrency dan aset digital memiliki risiko signifikan. Selalu lakukan riset Anda sendiri sebelum membuat keputusan.