Trust Wallet mengonfirmasi bahwa sekitar $7 juta dalam mata uang kripto dicuri melalui pembaruan ekstensi browser yang terkompromi.
Pelanggaran ini mempengaruhi hanya versi 2.68 dari ekstensi Chrome, yang dirilis pada 24 Desember.
Menurut perusahaan, pengguna dompet mobile tidak terdampak.
Changpeng Zhao, pendiri Binance, pemilik Trust Wallet, mengatakan dompet tersebut akan mengganti rugi semua pengguna yang terdampak.
"Sejauh ini, $7 juta terdampak oleh peretasan ini. Trust Wallet akan menanggung. Dana pengguna SAFU," tulis Zhao di X.
Apa yang Terjadi
Penyelidik blockchain ZachXBT pertama kali menandai insiden ini pada 25 Desember setelah menerima laporan pengurasan dana cepat dari pengguna Trust Wallet.
Kerugian terjadi dalam hitungan jam setelah pembaruan ekstensi, mengindikasikan kompromi rantai pasokan (supply chain).
Perusahaan keamanan SlowMist menganalisis kode berbahaya tersebut dan menemukan bahwa kode itu langsung disuntikkan ke source code Trust Wallet, bukan lewat pustaka pihak ketiga yang terkompromi.
Kode backdoor itu mengumpulkan seed phrase terenkripsi milik pengguna ketika dompet dibuka, lalu mengirimkan data ke domain yang dikendalikan penyerang yang didaftarkan pada 8 Desember.
Analisis SlowMist menunjukkan penyerang mulai melakukan persiapan setidaknya dua minggu sebelum pembaruan berbahaya tersebut diterapkan.
Dana yang dicuri mencakup Bitcoin, Ethereum, dan aset di berbagai jaringan blockchain.
Beberapa pengguna individu melaporkan kerugian lebih dari $300.000 hanya dalam beberapa menit setelah mengakses dompet.
Trust Wallet segera mendesak pengguna untuk menonaktifkan versi 2.68 dan memperbarui ke versi perbaikan 2.69 melalui Chrome Web Store resmi.
Baca juga: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Mengapa Ini Penting
Insiden ini menyoroti kerentanan keamanan yang terus-menerus pada dompet kripto berbasis browser meskipun ada upaya industri untuk memperkuat perlindungan.
Berbeda dengan kompromi yang menargetkan pengguna individu lewat phishing, serangan ini menyusup ke kanal distribusi resmi Trust Wallet, sehingga memengaruhi pengguna yang telah mengikuti praktik keamanan dengan benar.
Serangan rantai pasokan yang menargetkan infrastruktur kripto meningkat tajam pada 2024.
Perusahaan keamanan blockchain Chainalysis melaporkan bahwa pencurian kripto melampaui $3,41 miliar hingga awal Desember, dibandingkan $3,38 miliar sepanjang 2023.
Pelanggaran Trust Wallet ini merupakan insiden keamanan besar kedua untuk ekstensi browser dompet tersebut.
Pada 2023, tim keamanan produsen hardware wallet Ledger menemukan kerentanan kritis di ekstensi Chrome Trust Wallet yang menurunkan tingkat keamanan dari 256 bit menjadi hanya 32 bit entropi.
Chief technology officer Ledger, Charles Guillemet, mengatakan cacat tahun 2023 itu berpotensi memungkinkan penyerang menguras dompet tanpa interaksi pengguna sama sekali.
Kerentanan tersebut berhasil diidentifikasi dan diperbaiki sebelum terjadi eksploitasi skala besar.
Insiden terbaru ini menegaskan mengapa hardware wallet, yang menyimpan private key secara offline, tetap menjadi opsi paling aman untuk menyimpan aset kripto dalam jumlah besar.
Ekstensi browser membutuhkan izin sistem yang luas dan bergantung pada keamanan kode ekstensi maupun komputer pengguna, sehingga menciptakan banyak potensi vektor serangan.
Baca juga: SHIB Price Defies 5,000% Long-Biased Liquidation Wave