- Ekstensi Trust Wallet v2.68 terkait dengan dugaan kompromi rantai pasokan setelah pembaruan 24 Desember.
- Pengguna melaporkan pengurasan dompet setelah impor benih; kerugian diperkirakan di atas $6 juta.
- Trust Wallet mengkonfirmasi masalah, mendesak peningkatan ke v2.69; aplikasi seluler tidak terpengaruh.
Kekhawatiran keamanan muncul di sekitar ekstensi browser Trust Wallet setelah laporan menautkan pembaruan baru-baru ini ke kemungkinan akses tidak sah dan pengurasan dompet, mendorong peringatan dari penyelidik blockchain dan pengembang yang berfokus pada keamanan. Insiden tersebut telah memusatkan perhatian pada versi 2.68 ekstensi, yang kemudian dikonfirmasi oleh Trust Wallet terpengaruh.
Masalah ini muncul menyusul peringatan dari penyelidik blockchain ZachXBT, yang menyatakan bahwa dia telah menerima pesan dari ratusan pengguna yang mengklaim saldo dompet mereka telah turun setelah mengimpor frasa benih ke ekstensi browser.
Menurut ulasan teknis yang dibagikan oleh pengembang, pembaruan ekstensi browser yang dirilis pada 24 Desember mungkin telah memperkenalkan kode berbahaya melalui dugaan kompromi rantai pasokan.
Para peneliti yang memeriksa pembaruan menuduh bahwa file JavaScript yang baru ditambahkan disematkan dalam ekstensi dan tampaknya disamarkan sebagai fungsionalitas analitik. File tersebut dilaporkan diaktifkan hanya ketika pengguna mengimpor seed phrase, setelah itu mengirimkan data sensitif terkait dompet ke domain eksternal yang dirancang menyerupai infrastruktur Trust Wallet resmi.
Indikator Potensi Kompromi Rantai Pasokan
Domain eksternal yang dirujuk dalam laporan dilaporkan terdaftar hanya beberapa hari sebelum insiden dan kemudian offline. Analis mencatat bahwa pembuatan domain baru-baru ini, dikombinasikan dengan waktu pembaruan, menimbulkan kekhawatiran bahwa insiden tersebut mungkin merupakan hasil dari serangan rantai pasokan terkoordinasi daripada upaya phishing terisolasi atau kesalahan pengguna.
Analisis on-chain yang dikutip oleh peneliti komunitas menunjukkan bahwa dana yang disusupi dialihkan melalui beberapa alamat. Pola ini, kata mereka, umumnya dikaitkan dengan metode eksploitasi otomatis. Perkiraan publik yang dibagikan secara online menunjukkan kerugian mungkin melebihi $ 6 juta, meskipun angka-angka ini belum diverifikasi secara independen.
Trust Wallet Mengonfirmasi Ruang Lingkup dan Perbaikan Masalah
Kemudian pada 25 Desember, Trust Wallet mengkonfirmasi bahwa insiden keamanan terbatas pada ekstensi browser versi 2.68. Dalam sebuah pernyataan, perusahaan menyarankan pengguna untuk segera menonaktifkan versi itu dan meningkatkan ke versi 2.69, yang katanya berisi perbaikan. Trust Wallet menambahkan bahwa tidak ada versi ekstensi browser lain dan tidak ada aplikasi selulernya yang terpengaruh.
Perusahaan juga menyatakan bahwa tim dukungannya telah mulai menghubungi pengguna yang terkena dampak dan sedang menyelidiki insiden tersebut. Tidak ada rincian yang diberikan mengenai akar penyebab teknis atau potensi kompensasi.
Terkait: Trust Wallet Memulihkan Saldo Setelah Kesalahan Sinkronisasi Data; Dana Aman
Disclaimer: The information presented in this article is for informational and educational purposes only. The article does not constitute financial advice or advice of any kind. Coin Edition is not responsible for any losses incurred as a result of the utilization of content, products, or services mentioned. Readers are advised to exercise caution before taking any action related to the company.
