Bagaimana ekstensi browser Trust Wallet menguras kekayaan – langkah demi langkah dijelaskan

Proses Insiden Keamanan: Dari Instalasi hingga Pencurian

Desember 2024 menandai titik balik untuk keamanan Wallet Browser. Pembaruan reguler untuk ekstensi Trust Wallet Browser mengandung logika tersembunyi yang secara sistematis menguras akun pengguna – jutaan dolar dalam hitungan menit.

Fase 1: Pembaruan yang mencurigakan

Pada 24 Desember, dirilis versi baru dari ekstensi tersebut. Secara kasat mata terlihat tidak berbahaya:

• Tidak ada peringatan keamanan dalam Catatan Rilis
• Proses pembaruan standar
• Pengguna menginstalnya seperti biasa

Penipuan ini berhasil. Tidak ada yang langsung menyadari bahwa ini bukan pembaruan pemeliharaan biasa.

Fase 2: Perubahan kode tersembunyi dalam sebuah file JavaScript

Para peneliti keamanan yang menganalisis file ekstensi menemukan logika baru di 4482.js. Itu adalah sinyal peringatan pertama. Dalam ekstensi Wallet, setiap komunikasi keluar yang baru harus diawasi secara ketat – di sini, sebuah tembok telah dilanggar.

Fase 3: Penyamar sebagai kode analitik yang sah

Logika jahat ini disamarkan dengan cerdas:

• Tampak seperti kode telemetri standar
• Tidak aktif terus-menerus
• Hanya berjalan di kondisi tertentu

Desain ini sangat menyulitkan penemuan. Pengujian sederhana mungkin tidak akan menemukan kode mencurigakan ini.

Fase 4: Pemicu kritis – Impor Seed-Phrase

Analisis reverse-engineering menunjukkan bahwa logika ini aktif tepat saat pengguna mengimpor seed-phrase ke ekstensi. Itu adalah momen yang sempurna bagi penyerang – karena:

• Seed-Phrase memberikan kontrol penuh atas Wallet
• Ini biasanya proses sekali saja
• Kriminal hanya perlu bertindak sekali

Pengguna yang hanya menggunakan Wallet yang sudah ada mungkin melewati pemicu ini.

Fase 5: Eksfiltrasi data ke domain palsu

Jika kondisi terpenuhi, kode tersebut dikatakan mengirim data Wallet ke server eksternal:

metrics-trustwallet[.]com

Penipuan ini sempurna:

• Nama domain mirip subdomain Trust Wallet yang asli
• Baru didaftarkan beberapa hari sebelumnya
• Tidak terdokumentasi secara publik
• Tidak lama kemudian offline

Fase 6: Otomatisasi pencurian uang

Tak lama setelah pengguna mengimpor seed-phrases, ribuan Wallet kosong dilaporkan:

• Transaksi dilakukan dalam hitungan menit
• Beberapa aset dipindahkan sekaligus
• Tidak ada interaksi manusia yang diperlukan

Data on-chain menunjukkan pola otomatis – penyerang memiliki kontrol cukup untuk menandatangani transaksi secara mandiri.

Fase 7: Konsolidasi melalui beberapa Wallet

Uang yang dicuri mengalir melalui puluhan akun penyerang. Ini bukan kebetulan:

• Beberapa alamat target mengurangi risiko pelacakan
• Scripting otomatis jelas terlihat
• Perilaku sesuai dengan eksploitasi profesional

Perkiraan total berdasarkan transaksi yang dilacak: beberapa juta dolar.

Fase 8: Cepat menghapus jejak

Setelah komunitas memberi alarm:

• Domain mencurigakan dimatikan
• Tidak ada penjelasan publik langsung
• Screenshot dan bukti cache menjadi penting

Ini adalah perilaku klasik penyerang: menghancurkan infrastruktur begitu sudah dikompromikan.

Fase 9: Konfirmasi resmi yang terlambat

Trust Wallet akhirnya mengonfirmasi:

• Insiden keamanan terkait dengan versi tertentu dari ekstensi
• Pengguna mobile tidak terpengaruh
• Disarankan segera melakukan pembaruan atau menonaktifkan

Namun, pertanyaan tetap terbuka:

• Mengapa domain tersebut ada?
• Apakah seed-phrases diungkapkan?
• Apakah pelaku internal atau eksternal terlibat?

Kekosongan ini memicu spekulasi.

Apa yang kita ketahui dengan pasti

✓ Pembaruan ekstensi browser menyebabkan koneksi keluar yang mencurigakan ✓ Pengguna kehilangan dana segera setelah mengimpor seed-phrase ✓ Insiden terbatas pada versi tertentu ✓ Trust Wallet mengonfirmasi pelanggaran keamanan

Apa yang indikasi kuat menunjukkan

→ Injeksi kode berbahaya dalam rantai pasokan → Seed-phrases atau kemampuan tanda tangan dikompromikan → Kode analisis disalahgunakan sebagai senjata

Apa yang masih terbuka

? Apakah kode sengaja disisipkan atau dikompromikan dari upstream ? Jumlah pengguna yang terdampak secara pasti ? Identitas pelaku ? Apakah data sensitif lain juga dieksfiltrasi

Mengapa insiden ini mempengaruhi seluruh industri

Insiden ini bukan serangan phishing standar. Ini menunjukkan:

Kerentanan ekstensi browser – Mereka memiliki akses ke kunci pribadi dan seed-phrases. Kesalahan kode kecil atau celah keamanan bisa berakibat fatal.

Risiko kepercayaan buta terhadap pembaruan – Pengguna menginstal pembaruan otomatis tanpa memeriksa kode. Pembaruan adalah vektor serangan yang sempurna.

Bagaimana kode analisis bisa disalahgunakan – Fungsi telemetri terlihat sah, tetapi bisa mengalihkan data sensitif.

Momen paling kritis: Manajemen seed-phrase – Mengimpor seed-phrase adalah momen paling berbahaya dalam penggunaan Wallet.

Bug singkat atau celah yang sengaja ditempatkan cukup untuk mencuri jutaan dalam hitungan menit.

Pelajarannya: Dalam keamanan kripto, tidak ada yang remeh. Setiap pembaruan harus diwaspadai, bukan dipercaya.