Trust Wallet Berjanji Menanggung Kerugian $7 Juta dalam Penggodaman Hari Krismas, Kata CZ

• Penggodaman Trust Wallet telah merugikan $7 juta melalui kelemahan sambungan pelayar, dengan penyerang merancang pelanggaran ini beberapa minggu sebelumnya.
• Binance mengesahkan bayaran balik untuk semua mangsa kerana pakar membenderakan kemungkinan akses dalaman di sebalik eksploitasi tersebut.
• Penggodaman mendedahkan jurang dalam semakan kemas kini, kerana dana yang dicuri dan data pengguna menjejaskan beratus-ratus dompet.

Penggodaman Trust Wallet mendedahkan jurang keselamatan yang serius selepas penyerang secara senyap mencuri hampir $7 juta daripada pengguna semasa cuti Krismas. Pelanggaran itu menyasarkan pengguna desktop melalui sambungan pelayar yang terjejas dan tidak disedari selama beberapa hari. Penyiasat kemudiannya mendedahkan operasi tersebut dirancang beberapa minggu lebih awal, menjadikannya serangan yang terancang dan bukannya serangan oportunistik.

Trust Wallet berkata serangan itu terhad kepada sambungan pelayar versi 2.68 dan bukan aplikasi mudah alih mereka. Syarikat mengesyorkan pengguna mengemas kini aplikasi kepada versi 2.89, yang mengandungi pembetulan keselamatan bertujuan untuk menghalang eksploitasi daripada berfungsi. Trust Wallet milik Binance adalah salah satu dompet kripto terbesar, dengan lebih daripada 220 juta pengguna di seluruh dunia.

Zhao Mengesahkan Bayaran Balik Pengguna Selepas Penggodaman Trust Wallet

Pengasas bersama Binance, Changpeng Zhao, memberi respons kepada orang ramai mengenai penggodaman itu berikutan laporan pelanggaran. Trust Wallet akan membayar balik semua pengguna yang terjejas dan menanggung kerugian tersebut, katanya. Zhao mengakui bahawa penggodaman itu adalah pelanggaran yang sangat serius dan membina semula kepercayaan pengguna adalah penting pada masa keselamatan kripto semakin mendapat perhatian.

Analisis tambahan mendedahkan bahawa Penggodaman Trust Wallet telah berlaku secara aktif sejak awal Disember. Yu Xian, pengasas bersama firma keselamatan blockchain SlowMist, mendedahkan eksploitasi itu tidak dilaksanakan sehingga 8 Disember. Pada 22 Disember, mereka berjaya menyuntik pintu belakang berbahaya ke dalam sambungan tersebut. Wang kemudiannya dipindahkan keluar pada Hari Krismas, dengan pelanggaran akhirnya ditemui di sana.

Sumber: COS

Kod berniat jahat itu bukan sahaja menguras aset digital. Penyiasat mendapati bahawa kod serangan berniat jahat itu juga mengumpul maklumat peribadi pengguna, yang dihantar ke pelayan yang dikawal oleh penyerang. Menurut ZachXBT, seorang penyelidik blockchain, serangan itu menjejaskan beratus-ratus pengguna, yang menunjukkan bahawa ia tidak menjejaskan sebilangan kecil mangsa sahaja.

Baca Juga: Penggodaman Upbit: $1.77 juta dalam Aset Curi Dibekukan ketika Siasatan Berkembang

Industri mempunyai kebimbangan serius terhadap pelaksanaan eksploitasi tersebut. Penyerang dapat melepasi versi sambungan yang diubah suai melalui platform pengedaran rasmi. Ini menyebabkan beberapa profesional meragui kemungkinan akses dalaman sebagai faktor. 

Pakar Membenderakan Kemungkinan Peranan Dalaman dalam Pelanggaran Trust Wallet

Anndy Lian, yang berkhidmat sebagai penasihat blockchain antara kerajaan, menyifatkan peristiwa itu sebagai sangat pelik dan percaya terdapat kemungkinan besar penglibatan orang dalam. Zhao kemudiannya mendakwa bahawa penggodaman itu kemungkinan besar dilakukan dengan maklumat orang dalam.

Slowmist Xian menyatakan bahawa penyerang juga menunjukkan pemahaman mendalam tentang kod sumber Trust Wallet. Kebiasaan itu juga berfungsi untuk memberikan legitimasi kepada pintu belakang, dengan itu mengelakkan pengesanan awal. Pakar keselamatan berkata isu tersebut mencerminkan kelemahan dalam proses semakan dalaman dan sistem yang meluluskan kemas kini.

Penggodaman Trust Wallet adalah salah satu daripada beberapa kecurian dompet mata wang kripto pada 2025. Penggodaman dompet peribadi telah membentuk kira-kira 37% daripada nilai yang hilang dalam mata wang kripto yang dicuri tahun ini, tidak termasuk penggodaman Bybit bernilai $1.4 bilion pada Februari, menurut Chainalysis. Walaupun kerugian Trust Wallet tidak sebesar dalam beberapa serangan sebelumnya, ia sekali lagi menunjukkan risiko yang berterusan.

Sumber: Chainalysis

Pemimpin industri memberi amaran bahawa pelanggaran itu berfungsi sebagai peringatan lain untuk terus memantau keselamatan kripto. Star Xu, pengasas OKX, berkata bahawa jenis insiden ini menunjukkan bahawa kerja keselamatan tidak pernah selesai, dan walaupun platform yang dipercayai boleh terdedah jika langkah berjaga-jaga yang sewajarnya tidak diambil.

Baca Juga: Amaran Keselamatan Kripto: CZ Binance Mensasarkan Pencemaran Alamat Selepas Kerugian $50 Juta