Serangan Kripto Trust Wallet Kuras 2.596 Dompet, Kerugian Capai USD 7 Juta

Trust Wallet mengonfirmasi bahwa serangan siber yang menargetkan ekstensi browser mereka menjelang Natal telah mengakibatkan pencurian aset kripto senilai sekitar USD 7 juta. Insiden ini berdampak pada hampir 3.000 alamat dompet kripto milik pengguna.

Trust Wallet merupakan dompet kripto populer yang digunakan lebih dari 200 juta pengguna di seluruh dunia. Layanan ini memungkinkan penyimpanan, pengiriman, dan pengelolaan berbagai aset digital, termasuk Bitcoin, Ethereum, Solana, serta ribuan token lainnya, melalui ekstensi browser dan aplikasi mobile gratis di iOS dan Android. Meski diakuisisi oleh Binance pada 2018, Trust Wallet tetap beroperasi sebagai aplikasi dompet terdesentralisasi yang berdiri sendiri.

Insiden keamanan ini terjadi pada 24 Desember, ketika versi 2.68.0 dari ekstensi Chrome Trust Wallet diketahui telah disusupi. Penyerang menyisipkan skrip JavaScript berbahaya yang berfungsi mengekstraksi data sensitif dompet pengguna. Akibatnya, aset kripto dari dompet yang terdampak dapat dikuras tanpa sepengetahuan pemiliknya.

Pihak Trust Wallet mengonfirmasi bahwa versi berbahaya tersebut tidak dirilis melalui proses internal resmi. Investigasi awal menunjukkan bahwa pelaku kemungkinan memanfaatkan kunci API Chrome Web Store yang bocor untuk menerbitkan ekstensi berbahaya tersebut, sehingga berhasil melewati proses peninjauan dan dirilis secara publik.

Sebagai langkah darurat, Trust Wallet segera mencabut seluruh API rilis untuk mencegah penerbitan versi baru dalam dua minggu ke depan. Perusahaan juga melaporkan domain yang digunakan untuk mengekstraksi data ke registrar terkait, yang kemudian menangguhkan domain tersebut guna menghentikan pencurian lanjutan.

Namun, pelaku tidak berhenti di situ. Mereka melancarkan kampanye phishing dengan memanfaatkan kepanikan pengguna, menggunakan situs palsu bermerek Trust Wallet dan meminta frasa pemulihan dompet dengan dalih pembaruan keamanan penting.

Dalam pembaruan terbaru, Trust Wallet mengungkapkan bahwa total 2.596 alamat dompet telah teridentifikasi sebagai korban. Dari jumlah tersebut, perusahaan menerima sekitar 5.000 klaim, yang menunjukkan adanya pengajuan palsu atau duplikat. Oleh karena itu, proses verifikasi kepemilikan dompet dilakukan secara ketat untuk memastikan dana kompensasi dikembalikan kepada pemilik yang sah.

Trust Wallet menyatakan telah memulai proses penggantian dana bagi pengguna terdampak. Pengguna diminta mengirimkan informasi kontak, alamat dompet yang dikompromikan, alamat dompet pelaku, serta hash transaksi pencurian melalui formulir klaim khusus. Perusahaan menegaskan agar pengguna tidak membagikan kunci privat, frasa pemulihan, atau kata sandi dalam proses apa pun.

Selain itu, Trust Wallet memperingatkan bahwa saat ini beredar akun palsu yang menyamar sebagai dukungan resmi, termasuk penipuan melalui iklan Telegram dan formulir kompensasi palsu. Pengguna diimbau untuk selalu memverifikasi tautan, tidak pernah membagikan frasa pemulihan, dan hanya mengandalkan saluran komunikasi resmi Trust Wallet.