Trust Wallet mengungkapkan rincian peretasan sebesar $8,5 juta - ForkLog: cryptocurrency, AI, singularitas, masa depan

2025-12-31 12:35:02

# Trust Wallet mengungkapkan rincian peretasan sebesar $8,5 juta

Tim Trust Wallet menerbitkan laporan insiden yang terjadi pada 26 Desember. Penyerang mengeksploitasi ekstensi browser dan menarik aset senilai $8,5 juta.

Menurut pernyataan tersebut, serangan mempengaruhi 2520 alamat. Pengembang berkomitmen untuk sepenuhnya mengganti kerugian kepada yang terdampak.

Bagaimana ini terjadi

Penyebab peretasan adalah serangan besar-besaran terhadap rantai pasokan Sha1-Hulud, yang terdeteksi sejak November. Saat itu, peretas mendapatkan akses ke rahasia pengembang di GitHub dan API-keys dari Chrome Web Store.

Dengan menggunakan data yang dicuri, penyerang:

Mengunggah versi berbahaya dari ekstensi (2.68) di Chrome Web Store, melewati kontrol internal Trust Wallet.
Mendaftarkan domain metrics-trustwallet.com untuk mengumpulkan data rahasia (sebutan frase dan kunci privat).
Secara otomatis menyebarkan pembaruan kepada pengguna setelah melewati pemeriksaan Google.

Versi berbahaya ini aktif dari 24 hingga 26 Desember. Setelah masalah terdeteksi, tim mengembalikan ekstensi ke versi aman 2.69 dan menarik kunci yang telah dikompromikan.

Siapa yang terkena dampak

Kerentanan ini hanya mempengaruhi pengguna ekstensi desktop versi 2.68 yang mengakses dompet selama tanggal tersebut. Aplikasi mobile Trust Wallet dan versi ekstensi lainnya tetap aman.

Analis mengidentifikasi 17 alamat yang dikendalikan oleh peretas. Total kerugian mencapai $8,5 juta.

“Kami memandang insiden ini tidak hanya sebagai pelajaran penting bagi kami, tetapi juga sebagai titik balik bagi seluruh industri dalam hal serangan terhadap rantai pasokan,” — kata Trust Wallet.

Proses pengembalian dana

Perusahaan telah mulai bekerja sama dengan korban peretasan. Untuk mendapatkan kompensasi, pengguna harus mengajukan permohonan melalui formulir dukungan resmi dan melakukan verifikasi kepemilikan dompet.

Trust Wallet menekankan bahwa proses ini cukup kompleks karena banyaknya penipuan. Lebih dari 5000 permohonan telah diterima dari 2520 alamat yang terdampak. Tim mengimbau pengguna untuk bersabar dan waspada terhadap phishing: dukungan resmi tidak pernah meminta frase seed.

Untuk mencegah kejadian serupa di masa depan, proyek meningkatkan langkah-langkah keamanan, termasuk audit dependensi kode dan rotasi kredensial.

Diketahui bahwa pada 2025, volume dana yang dicuri melalui serangan phishing menurun sebesar 83%, menjadi $83,85 juta, menurut SlowMist.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.