Pembaruan rutin ekstensi Chrome berubah menjadi awal dari pencurian aset kripto besar-besaran. Pada 24 Desember, Trust Wallet merilis pembaruan untuk ekstensi Chrome mereka, versi 2.68, melalui Chrome Web Store.
Pada 25 Desember, tepat di Hari Natal, para korban pertama terbangun dan mendapati dana di dompet mereka telah dipindahkan tanpa izin. Penyelidik blockchain ZachXBT segera melakukan investigasi dan mengeluarkan peringatan darurat di grup Telegram.
Seiring berjalannya investigasi, cakupan insiden ini pun terungkap: hanya pengguna ekstensi browser versi 2.68 yang terdampak; versi mobile dan versi lainnya tetap aman.
01 Ringkasan Insiden: Pelanggaran Keamanan di Hari Natal dan Respons Komunitas
25 Desember 2025—hari yang seharusnya penuh perayaan—berubah menjadi mimpi buruk bagi ratusan pengguna Trust Wallet. Detektif on-chain ZachXBT membunyikan alarm, melaporkan bahwa ratusan pengguna kehilangan dana dari platform Trust Wallet, dengan kerugian telah mencapai setidaknya $6 juta.
Trust Wallet, dompet kripto di bawah Binance, mengklaim memiliki puluhan juta pengguna. Sebagai dompet non-kustodial terkemuka, Trust Wallet mendukung blockchain utama seperti Ethereum dan Binance Smart Chain, serta terintegrasi erat dengan berbagai platform DeFi.
Setelah pelanggaran terjadi, Trust Wallet secara resmi mengeluarkan peringatan keamanan, mengonfirmasi adanya celah pada ekstensi browser versi 2.68 dan segera merilis versi perbaikan 2.69.
Pendiri Binance, CZ, juga merespons di media sosial, menyatakan bahwa total kerugian akibat kerentanan ini mencapai sekitar $7 juta, dan menjanjikan bahwa platform akan memberikan kompensasi penuh kepada pengguna yang terdampak, memastikan bahwa dana pengguna "SAFU" (Secure Asset Fund for Users).
02 Kronologi Serangan: Perampokan Natal yang Direncanakan Matang
Kronologi pelanggaran keamanan ini menunjukkan perencanaan matang dari para pelaku. Pada 24 Desember, malam Natal, Trust Wallet mendorong pembaruan ekstensi ke Chrome Web Store. Sebagian besar pengguna, yang tengah menikmati suasana liburan, melakukan pembaruan secara otomatis maupun manual.
Hanya beberapa jam kemudian, pada pagi hari 25 Desember (waktu AS bagian Timur, dari dini hari hingga pagi menjelang siang), korban pertama mulai menyadari adanya transfer dana tanpa izin. Setelah menerima banyak laporan, ZachXBT mengeluarkan peringatan publik di Telegram sekitar tengah hari waktu setempat.
Transfer tidak sah ini berlangsung lebih dari 30 jam, mencakup periode yang cukup panjang sejak laporan pertama muncul. Selama pencurian masih berlangsung, akun resmi Trust Wallet justru masih memposting ucapan selamat liburan dan kampanye pemasaran, kontras yang menimbulkan ketidakpuasan besar di komunitas.
Baru pada 26 Desember—lebih dari 30 jam setelah insiden dimulai—perwakilan Trust Wallet secara terbuka mengakui adanya kerentanan pada ekstensi browser. Respons yang lambat ini menuai kritik luas dan semakin meningkatkan kekhawatiran pengguna.
03 Analisis Teknis: Kerentanan Fatal pada Ekstensi Browser
Para ahli keamanan menyebutkan bahwa serangan ini kemungkinan dilakukan dengan dua cara: kode berbahaya sengaja disisipkan saat pembaruan, atau celah yang dapat dieksploitasi secara tidak sengaja dimasukkan.
Hak akses tingkat tinggi pada ekstensi Chrome membuatnya menjadi target utama bagi pelaku kejahatan. Ekstensi ini dapat membaca dan memodifikasi seluruh konten web yang diakses pengguna, mencegat permintaan jaringan, menyisipkan skrip apa pun, bahkan mengakses penyimpanan lokal.
CISO SlowMist menambahkan bahwa pelanggaran ini kemungkinan berasal dari kompromi perangkat pengembang atau repositori kode, dan pengguna masih terus terdampak. Analisis ini menyoroti ancaman serangan rantai pasok—penyerang tidak perlu membobol aplikasi dompet secara langsung; cukup dengan mengompromikan salah satu dependensi hulu.
Penelitian keamanan menunjukkan bahwa dompet berbasis browser menghadapi tiga risiko sistemik: pembaruan otomatis memaksa pengguna menerima versi baru tanpa tinjauan kode; penyalahgunaan izin memungkinkan ekstensi sah menambahkan kode berbahaya saat pembaruan; dan kerentanan pada rantai dependensi membuat aplikasi hilir terdampak tanpa sepengetahuan pengguna.
04 Pelacakan Aliran Dana: Jalur Pencucian Uang Hacker
Data pemantauan PeckShield menunjukkan bahwa dalam eksploitasi Trust Wallet, para hacker telah mencuri lebih dari $6 juta aset kripto dari korban. Dana ini segera dan otomatis dipindahkan ke sejumlah dompet yang dikendalikan pelaku.
Pelacakan aliran dana mengungkap proses pencucian uang yang sistematis:
| Status Dana | Jumlah (perkiraan USD) | Tujuan Utama atau Catatan |
|---|---|---|
| Masih di dompet hacker | $2,8 juta | Tersebar di jaringan Bitcoin, EVM, dan Solana |
| Dipindahkan ke bursa terpusat | Lebih dari $4 juta | Dikirim ke ChangeNOW, FixedFloat, KuCoin, dan lainnya |
Secara spesifik, sekitar $3,3 juta dikirim ke ChangeNOW, sekitar $340.000 ke FixedFloat, dan kurang lebih $447.000 ke KuCoin. Pola transfer cepat dan tersebar ini umum terjadi pada pelanggaran ekstensi atau frontend, bertujuan mempersulit pelacakan.
Analis on-chain menemukan bahwa sebuah dompet EVM yang baru dibuat menerima transaksi mulai dari pecahan ETH hingga 7 ETH. Salah satu alamat masih menyimpan lebih dari 255 ETH, senilai sekitar $750.000.
Di jaringan Bitcoin, satu alamat menerima lebih dari 12 BTC (lebih dari $1 juta) melalui 66 transaksi, sementara dompet lain secara kolektif menerima 1,5 BTC.
05 Dampak Pasar dan Performa Token
Insiden Trust Wallet tidak hanya berdampak pada korban langsung, tetapi juga mengguncang pasar kripto secara lebih luas. Sebagai token utilitas utama dalam ekosistem dompet ini, Trust Wallet Token (TWT) berpotensi mengalami tekanan harga turun.
Pendiri SlowMist, Yu Jin, juga menyoroti bahwa pelaku tampak sangat memahami kode sumber ekstensi Trust Wallet, dengan menyisipkan PostHog JS untuk mengumpulkan berbagai data dompet pengguna. Yang mengkhawatirkan, versi Trust Wallet yang telah diperbaiki ternyata tidak menghapus skrip PostHog JS.
Secara historis, insiden keamanan serupa menyebabkan harga token terkait turun 10–20% dalam 24 jam, dengan lonjakan volume perdagangan akibat aksi jual panik. Peristiwa ini juga dapat mendorong investor beralih ke aset yang dianggap lebih aman seperti Bitcoin dan Ethereum.
Per 26 Desember, data platform Gate menunjukkan sentimen pasar yang hati-hati, dengan investor semakin memperhatikan isu keamanan dompet. Meski CZ telah menjanjikan kompensasi penuh, pemulihan kepercayaan pasar akan membutuhkan waktu.
06 Panduan Respons Pengguna dan Rekomendasi Keamanan
Jika Anda merupakan pengguna Trust Wallet yang berpotensi terdampak, lakukan langkah berikut segera:
Langkah 1: Tinjau dan Isolasi. Periksa riwayat transaksi Anda selama 48 jam terakhir, fokus pada transfer token tanpa izin, interaksi kontrak, atau otorisasi tanda tangan. Jika menemukan aktivitas mencurigakan, segera nonaktifkan ekstensi Trust Wallet Chrome dengan mengunjungi chrome://extensions dan menghapus atau menonaktifkannya.
Langkah 2: Pemulihan Aset. Gunakan Revoke.cash atau fitur Token Approvals di Etherscan untuk mencabut seluruh otorisasi DeFi. Buat dompet baru dengan seed phrase yang benar-benar baru—jangan memulihkan dari dompet lama. Pindahkan seluruh aset yang tersisa ke dompet baru, dan hindari menggunakan perangkat yang diduga telah terkompromi.
Langkah 3: Laporkan dan Pertahankan. ZachXBT merekomendasikan korban untuk segera menghubungi penegak hukum dan menyediakan catatan transaksi secara detail. Meski kasus pencurian kripto jarang terpecahkan, pencatatan resmi sangat penting untuk potensi gugatan class action atau klaim asuransi di masa depan.
Bagi pengguna Trust Wallet yang belum terdampak, langkah pencegahan meliputi: hentikan penggunaan ekstensi Chrome, beralih ke aplikasi mobile atau hardware wallet; tinjau dan cabut otorisasi kontrak DeFi yang tidak diperlukan; hindari menandatangani transaksi atau persetujuan baru hingga situasi jelas; rutin mencadangkan seed phrase dan simpan secara offline; pertimbangkan memindahkan aset bernilai besar ke hardware wallet.
Pusat dukungan resmi Trust Wallet telah mengumumkan proses pengajuan kompensasi, dan korban dapat mendaftarkan klaim melalui kanal tersebut. ZachXBT juga mencatat bahwa jika Trust Wallet terbukti bertanggung jawab, platform harus memberikan kompensasi kepada pengguna yang terdampak.
Prospek Ke Depan
Dengan lebih dari $4 juta dana curian telah dipindahkan ke bursa seperti ChangeNOW, FixedFloat, dan KuCoin, dampak dari perampokan Natal ini masih menggema di dunia kripto. Firma keamanan PeckShield melaporkan sekitar $2,8 juta masih berada di dompet yang dikuasai hacker.
Yu Jin, pakar keamanan yang menemukan skrip mencurigakan masih ada di versi perbaikan, terus memberikan peringatan di media sosial. Di dunia aset digital, keamanan bukanlah peristiwa satu kali—melainkan maraton tanpa akhir.
Sikap Trust Wallet yang sempat bungkam dan langkah-langkah selanjutnya akan menjadi tolok ukur bagaimana industri merespons krisis keamanan. Bagi setiap pemilik aset kripto, insiden ini menjadi pengingat yang tegas dan nyata: keamanan sejati selalu berada di tangan Anda sendiri.
