Trust Wallet memulai proses penggantian kerugian, menanggung kerugian seluruh dompet pengguna sebesar 7 juta dolar AS

Trust Wallet mengaktifkan proses kompensasi bagi korban kejadian keamanan versi ekstensi Chrome v2.68, insiden peretasan ini menyebabkan ratusan dompet kehilangan sekitar 7 juta dolar AS aset digital. Pendiri Binance CZ mengonfirmasi bahwa perusahaan akan menanggung seluruh kerugian pengguna yang terdampak, dan korban dapat mengajukan klaim melalui situs resmi.

Kebocoran API Key Trust Wallet Menyebabkan Serangan Rantai Pasokan

CEO Trust Wallet Eowyn Chen mengungkapkan dalam penyelidikan pasca kejadian bahwa metode utama serangan tersebut. Peretas memperoleh API key toko aplikasi Chrome Trust Wallet, yang seharusnya hanya digunakan oleh tim internal untuk merilis pembaruan. Penyerang memanfaatkan “kunci serbaguna” ini, pada pukul 12:32 UTC tanggal 24 Desember, untuk melewati proses rilis internal standar Trust Wallet dan langsung mengunggah versi v2.68 yang telah dimanipulasi di Chrome Web Store.

Metode serangan ini dikenal dalam bidang keamanan siber sebagai “serangan rantai pasokan”, di mana pelaku tidak menyerang pengguna secara langsung, melainkan menyusup ke jalur distribusi perangkat lunak dari vendor, lalu menyamarkan kode berbahaya sebagai pembaruan resmi yang dikirim ke semua pengguna. Karena pembaruan berasal dari toko resmi dan sertifikat tanda tangan valid, pengguna dan browser tidak dapat mengenali sifat jahatnya. Trust Wallet memiliki sekitar satu juta pengguna ekstensi Chrome, sehingga potensi dampak dari serangan ini sangat luas.

Perusahaan keamanan blockchain SlowMist dalam analisis teknisnya menunjukkan bahwa kode berbahaya memanfaatkan perpustakaan analisis sumber terbuka yang telah dimodifikasi. Kode yang dirancang secara cermat akan diam-diam mengumpulkan mnemonic dompet saat pengguna login ke ekstensi, lalu mengirimkannya ke server yang dikendalikan peretas. Mnemonic adalah kredensial tertinggi untuk mengendalikan dompet cryptocurrency; jika bocor, pelaku dapat mengendalikan seluruh aset korban. Chen menyatakan bahwa pengguna yang login ke ekstensi sebelum pukul 11:00 UTC tanggal 26 Desember mungkin sudah terdampak.

Trust Wallet, pada hari Natal, menerima peringatan dari inspektur chain ZachXBT yang diposting di Telegram, dan segera mengaktifkan prosedur tanggap darurat. Tim merilis versi v2.69 pada 25 Desember untuk memperbaiki celah keamanan dan menghapus versi berbahaya dari Chrome Web Store. Namun, pengguna yang login selama periode versi berbahaya aktif mungkin sudah mengalami kebocoran mnemonic, dan pembaruan selanjutnya tidak dapat mengembalikan kerugian tersebut.

Pelacakan Dana Hilang 7 Juta Dolar AS

Perusahaan keamanan blockchain PeckShield melacak aliran dana yang dicuri melalui analisis on-chain. Sekitar 7 juta dolar AS aset digital telah dicuri di berbagai blockchain utama termasuk Bitcoin, Ethereum, dan Solana. Pelaku melakukan strategi pencairan cepat, lebih dari 4 juta dolar AS dana yang dicuri telah dipindahkan melalui centralized exchanges seperti ChangeNOW, FixedFloat, dan KuCoin. Hingga Kamis, sekitar 2,8 juta dolar AS masih tersisa di dompet pelaku.

Polanya menunjukkan bahwa pelaku memiliki kemampuan pencucian uang yang profesional. ChangeNOW dan FixedFloat adalah bursa instan tanpa KYC, sering digunakan untuk mengaburkan asal-usul dana. Sebagian dana dipindahkan ke KuCoin dan bursa besar lainnya mungkin untuk didiversifikasi atau dicairkan lebih lanjut. Pelacakan on-chain meskipun transparan, tetapi begitu dana masuk ke bursa terpusat atau mixer, proses penarikan kembali menjadi sangat sulit.

Perlu dicatat bahwa serangan terjadi menjelang Natal, ini adalah strategi umum peretas. Selama liburan, tim keamanan perusahaan berkurang, respons menjadi lebih lambat, memberi waktu lebih bagi pelaku untuk memindahkan aset. Trust Wallet hanya membutuhkan sekitar 24 jam untuk merilis versi perbaikan, tetapi pelaku sudah memiliki cukup waktu untuk melakukan transfer dana tahap pertama.

Saat ini, hanya ekstensi Chrome Trust Wallet yang terdampak, pengguna aplikasi mobile (iOS dan Android) serta versi browser lain (seperti Firefox, Edge) tidak terkena dampak kejadian ini. Hal ini karena platform berbeda menggunakan jalur rilis dan API key yang terpisah, dan pelaku hanya memperoleh akses rilis di Chrome Web Store.

Proses Kompensasi Resmi dan Peringatan Penipuan

Trust Wallet telah menyediakan formulir klaim resmi di situs web resmi, pengguna yang terdampak harus mengisi informasi berikut untuk mengajukan klaim:

Informasi yang Diperlukan untuk Klaim

· Data identitas dasar: alamat email dan negara/wilayah tempat tinggal, untuk verifikasi identitas dan kontak lanjutan

· Bukti dompet yang terdampak: alamat dompet yang dibobol dan alamat penerima dari penyerang, harus dalam format alamat chain lengkap

· Bukti transaksi: hash transaksi terkait, sebagai bukti on-chain bahwa dana telah dicuri

Tim Trust Wallet menyatakan: “Kami sedang bekerja siang dan malam untuk memastikan rincian proses kompensasi, setiap kasus memerlukan verifikasi cermat untuk memastikan akurasi dan keamanan.” Mekanisme ini bertujuan mencegah klaim palsu, tetapi juga berarti proses pemberian kompensasi membutuhkan waktu tertentu. Pendiri Binance CZ secara tegas berjanji di X: “Trust Wallet akan menanggung seluruh kerugian,” dan menegaskan bahwa dana pengguna “aman dan terkendali.” Binance mengakuisisi Trust Wallet pada 2018, dan janji ini menunjukkan komitmen perusahaan induk terhadap reputasi merek.

Trust Wallet mengingatkan pengguna untuk waspada terhadap formulir klaim palsu dan penipuan identitas yang muncul pasca kejadian. Peretas dan penipu sering memanfaatkan insiden keamanan untuk melakukan serangan kedua, dengan meniru formulir resmi untuk mencuri informasi pribadi atau mnemonic. Pengguna harus hanya mengajukan klaim melalui situs resmi Trust Wallet atau kanal resmi yang terverifikasi, dan jangan pernah mengklik tautan yang tidak dikenal atau membagikan mnemonic kepada siapapun.

Kejadian ini menyoroti risiko sistemik dari jalur rilis terpusat. Bahkan dompet desentralisasi tetap bergantung pada mekanisme pembaruan perangkat lunak dari platform terpusat seperti Google dan Apple. Pengelolaan API key yang buruk dapat mengekspos seluruh pengguna ke risiko. Trust Wallet perlu meninjau ulang mekanisme penyimpanan kunci, menggunakan modul keamanan hardware (HSM) atau sistem multi-signature untuk perlindungan tingkat tinggi. Bagi pengguna, rutin mencadangkan mnemonic, menggunakan hardware wallet untuk aset besar, dan mengikuti pengumuman keamanan resmi adalah langkah efektif mengurangi risiko serupa.