- Ekstensi Trust Wallet versi 2.68 diduga terkait dengan kompromi rantai pasokan setelah pembaruan pada 24 Desember.
- Pengguna melaporkan terjadinya pengeluaran dompet setelah mengimpor seed phrase; kerugian diperkirakan lebih dari 6 juta dolar.
- Trust Wallet mengonfirmasi masalah, menyarankan untuk memperbarui ke versi 2.69; Aplikasi seluler tidak terpengaruh.
Masalah keamanan muncul seputar ekstensi browser Trust Wallet setelah laporan terkait pembaruan terbaru dengan kemungkinan akses tidak sah dan pengeluaran dompet, yang memicu peringatan dari peneliti blockchain dan pengembang yang berorientasi pada keamanan. Insiden tersebut menarik perhatian pada versi 2.68 ekstensi, yang kemudian dikonfirmasi oleh Trust Wallet.
Masalah muncul setelah pemberitahuan dari investigator blockchain ZachXBT, yang melaporkan bahwa ia menerima pesan dari ratusan pengguna yang mengklaim bahwa saldo dompet mereka menurun setelah mengimpor seed phrase ke ekstensi browser.
Menurut tinjauan teknis yang dipublikasikan oleh pengembang, pembaruan ekstensi browser yang dirilis pada 24 Desember kemungkinan menyebabkan injeksi kode berbahaya melalui dugaan kompromi rantai pasokan.
Peneliti yang meneliti pembaruan tersebut menyatakan bahwa file JavaScript yang baru ditambahkan tertanam dalam ekstensi dan tampaknya disamarkan sebagai fungsi analitik. Dilaporkan bahwa file tersebut hanya diaktifkan saat mengimpor seed phrase, setelah itu mentransmisikan data sensitif terkait dompet ke domain eksternal yang dirancang menyerupai infrastruktur resmi Trust Wallet.
Indikator Kemungkinan Kompromi Rantai Pasokan
Domain eksternal yang disebutkan dalam laporan didaftarkan hanya beberapa hari sebelum insiden dan kemudian offline. Analis mencatat bahwa pembuatan domain baru-baru ini dikombinasikan dengan waktu pembaruan menimbulkan kekhawatiran bahwa insiden tersebut mungkin merupakan hasil dari serangan terkoordinasi pada rantai pasokan, bukan upaya phishing terisolasi atau kesalahan pengguna.
Analisis on-chain yang dirujuk oleh peneliti komunitas menunjukkan bahwa dana yang dikompromikan melewati beberapa alamat. Menurut mereka, pola ini sering dikaitkan dengan metode eksploitasi otomatis. Perkiraan publik yang dipublikasikan di internet menyarankan bahwa kerugian dapat melebihi $6 juta, meskipun angka-angka ini belum dikonfirmasi secara independen.
Trust Wallet Mengonfirmasi Cakupan dan Menerbitkan Perbaikan
Kemudian, pada 25 Desember, Trust Wallet mengonfirmasi bahwa insiden keamanan terbatas pada ekstensi browser versi 2.68. Dalam pernyataannya, perusahaan merekomendasikan pengguna untuk segera menonaktifkan versi ini dan memperbarui ke versi 2.69, yang menurut mereka berisi perbaikan. Trust Wallet menambahkan bahwa tidak ada versi ekstensi browser lainnya dan tidak ada aplikasi selulernya yang terpengaruh.
Perusahaan juga menyatakan bahwa layanan dukungannya telah mulai menghubungi pengguna yang terdampak dan menyelidiki insiden tersebut. Rincian tentang penyebab teknis atau kemungkinan kompensasi tidak diberikan.
Terkait: Trust Wallet memulihkan saldo setelah kegagalan sinkronisasi data; Dana aman
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
Source: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
