Kekhawatiran keamanan muncul seputar ekstensi browser Trust Wallet pada 25 Desember, setelah penyelidik blockchain ZachXBT menandai aktivitas mencurigakan yang berpotensi terkait dengan pembaruan terbaru, memicu peringatan dari pengembang dan akun-akun yang berfokus pada keamanan.
Menurut postingan yang beredar di X, masalah ini mungkin berasal dari dugaan kompromi rantai pasokan yang diperkenalkan dalam pembaruan ekstensi browser 24 Desember.
Kode yang baru ditambahkan dalam ekstensi dapat secara diam-diam mengeksfiltrasi data dompet sensitif ketika pengguna mengimpor seed phrase. Klaim tersebut menunjukkan bahwa hal ini telah menyebabkan pengosongan dompet secara langsung.
Klaim Kode Jahat Trust Wallet dan Eksfiltrasi Data yang Diduga
Pengembang yang memeriksa ekstensi tersebut menyatakan bahwa file JavaScript yang ditambahkan dalam pembaruan berisi logika yang disamarkan sebagai analitik.
Kode tersebut dikatakan aktif secara khusus ketika seed phrase diimpor. Kemudian, kode tersebut secara diam-diam mengirimkan data terkait dompet ke domain eksternal yang dirancang menyerupai infrastruktur resmi Trust Wallet.
Domain yang dirujuk dalam laporan dilaporkan baru didaftarkan beberapa hari yang lalu dan sejak itu menjadi offline.
Para peneliti berpendapat bahwa pembuatannya yang baru dan waktu pembaruan ekstensi menimbulkan kekhawatiran tentang serangan rantai pasokan yang terkoordinasi, bukan phishing dari sisi pengguna.
Pengguna Laporkan Pengosongan Dompet Setelah Impor Seed
Beberapa pengguna melaporkan dompet mereka dikosongkan tak lama setelah mengimpor seed phrase ke dalam ekstensi browser Trust Wallet.
Perkiraan yang dibagikan secara publik menunjukkan bahwa lebih dari $2 juta mungkin telah hilang. Meskipun angka-angka ini belum diverifikasi secara independen.
Analis menunjukkan bahwa dana dialirkan melalui beberapa alamat, suatu pola yang lebih umum dikaitkan dengan eksploitasi otomatis daripada kesalahan pengguna yang terisolasi.
Cakupan Tampaknya Terbatas pada Ekstensi Browser
Pada tahap ini, tidak ada indikasi bahwa aplikasi seluler Trust Wallet terpengaruh.
Peringatan yang beredar online berfokus khusus pada ekstensi browser. Di sinilah mekanisme pembaruan dan ketergantungan pihak ketiga menimbulkan risiko rantai pasokan yang lebih tinggi.
Pengguna disarankan untuk tidak mengimpor seed phrase ke dalam ekstensi browser Trust Wallet sampai klarifikasi lebih lanjut diberikan.
Belum Ada Tanggapan Resmi dari Trust Wallet
Hingga saat ini, Trust Wallet belum mengeluarkan tanggapan publik, klarifikasi, atau advisory keamanan apa pun yang menangani tuduhan tersebut.
Tidak ada konfirmasi atau penyangkalan atas klaim tersebut, maupun pengumuman pembaruan, rollback, atau patch darurat.
Penyelidikan Berlangsung
Para peneliti menekankan bahwa situasi masih dalam penyelidikan aktif. Kesimpulan tidak boleh ditarik sampai kode ekstensi dan aktivitas on-chain terkait telah ditinjau sepenuhnya.
Jika dikonfirmasi, insiden ini akan mewakili kompromi rantai pasokan yang serius.
Ini adalah kelas serangan yang berbeda signifikan dari phishing atau kesalahan dari sisi pengguna. Juga, secara historis telah mengakibatkan kerugian besar-besaran yang cepat di seluruh ekosistem crypto.
Pikiran Akhir
- Tuduhan tersebut menunjuk pada risiko rantai pasokan yang berpotensi serius yang mempengaruhi ekstensi dompet, menggarisbawahi bagaimana pembaruan kode dapat menjadi vektor serangan kritis jika dikompromikan.
- Dengan belum ada tanggapan dari Trust Wallet, pengguna dan peneliti mengandalkan penyelidikan independen sementara pengawasan seputar insiden ini berlanjut.
