Pendiri Trust Wallet, CZ berjanji mengembalikan dana $7 juta yang hilang dalam peretasan Hari Natal

Trust Wallet telah berjanji untuk menutupi sekitar $7 juta dana pelanggan yang hilang dalam peretasan Hari Natal, pendirinya, Changpeng Zhao, mengkonfirmasi di platform media sosial X. Pelanggaran mendadak ini telah mengguncang sebagian komunitas kripto. Meski begitu, jaminan cepat Zhao bertujuan untuk menenangkan kekhawatiran dan memulihkan kepercayaan pada dompet self-custodial yang populer ini.

Insiden terjadi pada 25 Desember, ketika versi ekstensi browser Trust Wallet yang telah disusupi digunakan untuk menguras aset dari dompet pengguna. 

Investigasi awal menunjukkan bahwa kode berbahaya aktif di versi 2.68 ekstensi tersebut, memicu transfer tidak sah di berbagai blockchain, termasuk Ethereum, Bitcoin dan Solana. Dalam beberapa jam, data on-chain menunjukkan dana sedang disedot ke alamat yang tidak dikenal, dengan kerugian dengan cepat mendekati $7 juta.

Dalam sebuah postingan di X pada hari Jumat, Zhao menekankan bahwa "dana pengguna adalah SAFU," menggunakan akronim industri kripto populer untuk Secure Asset Fund for Users. Dia mengatakan Trust Wallet akan mengganti rugi pengguna yang terkena dampak atas kerugian mereka. Tim terus menyelidiki bagaimana tepatnya penyerang dapat mengunggah dan mendistribusikan ekstensi yang telah disusupi.

Penyedia dompet juga menggambarkan pelanggaran tersebut terbatas pada ekstensi browser. Trust Wallet mendesak pengguna untuk segera menonaktifkan versi yang telah disusupi dan memperbarui ke rilis yang telah diperbaiki, versi 2.69, tersedia melalui Chrome Web Store resmi.

Pengguna aplikasi mobile dan mereka yang menggunakan versi ekstensi lain dilaporkan tidak terpengaruh.

Bagaimana eksploitasi Trust Wallet terjadi

Peneliti keamanan dan analis on-chain telah mulai menyusun kronologi serangan. Tanda-tanda awal persiapan oleh pelaku ancaman kembali ke awal Desember, menurut perusahaan keamanan siber SlowMist. Laporan mereka menunjukkan bahwa kode berbahaya tertanam dalam build ekstensi sebelum ditayangkan, menunjukkan eksploitasi yang direncanakan dengan hati-hati daripada serangan otomatis sederhana.

Setelah aktif pada Hari Natal, ekstensi yang telah disusupi mengumpulkan data pengguna sensitif, termasuk seed phrase, dan mengirimkannya ke server jarak jauh yang dikendalikan oleh penyerang. Korban yang mengimpor seed phrase ke dalam ekstensi melihat dompet mereka dikuras dalam hitungan menit, bahkan jika mereka telah mengikuti praktik keamanan umum.

Di seluruh komunitas kripto, detektif on-chain menandai ratusan dompet yang terkena dampak pelanggaran. Pergerakan cepat aset melalui layanan pencampuran mempersulit upaya melacak dana yang dicuri, membuat upaya pemulihan menjadi menantang.

Pasar yang lebih luas merasakan kejutan dari berita tersebut, datang pada saat ketika harga kripto sudah berada di bawah tekanan. Meskipun ukuran kerugian relatif sederhana dibandingkan dengan peretasan exchange besar-besaran tahun ini, insiden tersebut telah menarik pengawasan baru terhadap infrastruktur dompet berbasis browser dan keamanan rantai pasokan.

Sementara itu, janji publik Zhao untuk menutupi kerugian dimaksudkan untuk meyakinkan pengguna bahwa insiden tersebut tidak akan mengakibatkan kerugian finansial pribadi. Pesannya menekankan bahwa dana yang terkena dampak akan diganti dari cadangan Trust Wallet, dan bahwa masalah tampaknya terbatas pada ekstensi yang telah disusupi.

Beberapa pengamat industri telah mengajukan pertanyaan tentang bagaimana versi berbahaya melewati peninjauan dan didistribusikan melalui saluran resmi.

Ada saran awal bahwa pelanggaran mungkin melibatkan kompromi rantai pasokan atau bahkan pengetahuan orang dalam, mengingat bagaimana kode yang diubah dapat masuk ke dalam rilis resmi. Saran-saran ini telah memicu perdebatan di forum dan platform media sosial, dengan beberapa pengguna menyuarakan kekhawatiran tentang kontrol internal dan proses peninjauan.

Trust Wallet telah merespons dengan memprioritaskan rilis ekstensi yang telah diperbaiki dan meminta pengguna untuk segera memperbarui. Juga direkomendasikan bahwa mereka yang terkena dampak menghasilkan seed phrase baru dan memindahkan aset ke lingkungan yang aman.

Postingan Pendiri Trust Wallet, CZ berjanji mengembalikan dana $7 juta yang hilang dalam peretasan Hari Natal pertama kali muncul di Technext.