Ekstensi Chrome Trust Wallet: Skrip tersembunyi yang mengumpulkan kunci pribadi, kerugian hingga 7 juta USD

Insiden Keamanan Serius: Versi 2.68 Mengungkap Seed Phrase Pengguna

Pada tanggal 24-25 Desember 2025, Trust Wallet mengeluarkan peringatan darurat yang meminta pengguna Chrome berhenti menggunakan versi 2.68 dari ekstensi. Perusahaan telah menemukan celah keamanan dalam proses eksekusi kode, yang menyebabkan seed phrase dan kunci pribadi pengguna dikumpulkan secara tidak sah. Laporan awal mencatat kerugian total sekitar 6-7 juta USD di berbagai blockchain dalam 48-72 jam pertama.

Ekstensi Trust Wallet di Chrome Web Store saat ini memiliki sekitar 1 juta pengguna yang menginstal. Tingkat dampak nyata tergantung pada jumlah pengguna yang telah memperbarui ke versi 2.68 dan memasukkan informasi sensitif selama periode kerentanan tersebut. Trust Wallet menegaskan bahwa versi mobile dan platform lain tidak terpengaruh.

Mekanisme Serangan: Kode JavaScript Berbahaya Mengumpulkan Rahasia Dompet

Para peneliti keamanan menemukan logika mencurigakan dalam paket instalasi versi 2.68. Secara spesifik, dalam sebuah file JavaScript yang merujuk ke file “4482.js”, analis menemukan bahwa kode ini mampu mengirim seed phrase dan kunci pribadi ke server eksternal.

Seed phrase adalah rangkaian kata yang dapat membuka semua alamat saat ini dan di masa depan yang dibuat dari seed tersebut. Artinya, jika seed phrase bocor, seluruh dompet dan aset di berbagai blockchain berisiko diambil alih. Tim pemeriksa mengidentifikasi risiko tertinggi bagi mereka yang memasukkan atau memulihkan seed phrase setelah instalasi versi yang bermasalah.

Tindakan yang Diperlukan: Pembaruan Tidak Cukup, Harus Pindahkan Aset

Memperbarui ke versi 2.69 dapat menghapus kode berbahaya dari ekstensi di masa mendatang, tetapi ini tidak secara otomatis melindungi aset jika seed phrase telah disusupi sebelumnya.

Jika Anda telah memasukkan atau memulihkan seed phrase saat menggunakan versi 2.68, anggap seed tersebut telah bocor. Langkah-langkah pemulihan standar meliputi:

• Membuat seed phrase baru sepenuhnya
• Memindahkan semua aset ke dompet baru yang dibuat dari seed phrase baru
• Menarik persetujuan token (token approvals) di smart contract jika memungkinkan

Tindakan ini bisa mahal karena harus mentransfer aset antar berbagai blockchain. Pengguna perlu mempertimbangkan antara kecepatan dan biaya gas, terutama terkait transaksi lintas chain.

Penipuan “Bantuan Palsu” yang Meningkat

Pada saat insiden terjadi, taktik penipuan sekunder mulai muncul. Penipu membuat domain “penanggulangan insiden” palsu, untuk menipu pengguna agar memberikan seed phrase dengan kedok “dukungan pemulihan dompet”.

Trust Wallet menyarankan pengguna untuk tidak berinteraksi dengan pesan apapun yang tidak berasal dari saluran resmi. Penyerang bisa meniru tim dukungan Trust Wallet untuk menargetkan korban. Selalu verifikasi sumber dari setiap permintaan terkait seed phrase.

Masalah Lebih Luas: Ekstensi sebagai Titik Lemah Keamanan Dompet

Insiden ini menyoroti risiko dasar dari ekstensi browser. Mereka ditempatkan di posisi sensitif antara aplikasi web dan proses penandatanganan transaksi, memungkinkan mereka mengintervensi informasi yang digunakan pengguna untuk memverifikasi transaksi.

Penelitian akademik tentang Chrome Web Store menunjukkan bahwa ekstensi berbahaya atau yang disusupi dapat menghindari pemeriksaan otomatis. Ketika teknik serangan berubah dari waktu ke waktu, kemampuan deteksi juga menurun. Hal ini sangat mengkhawatirkan untuk pembaruan dompet, di mana kode sisi klien menjadi lebih kompleks — membuat analisis menjadi lebih sulit.

Preseden: Disiplin Proses Distribusi Perangkat Lunak

Insiden ini juga menimbulkan pertanyaan tentang integritas proses pembangunan dan distribusi perangkat lunak. Solusi jangka panjang dapat meliputi:

• Membangun (reproducible builds)
• Pemisahan kunci (key separation)
• Proses rollback yang lebih jelas

Langkah-langkah ini akan membantu penyedia dan platform membangun metode pemeriksaan dan panduan pengguna yang lebih baik.

Data Pasar: Investor Masih “Menunggu dan Melihat”

Meskipun insiden serius, pasar token TWT (Trust Wallet Token) mencerminkan informasi secara kompleks. Berdasarkan data terbaru per 12 Januari 2026:

• Harga saat ini: $0.89
• Perubahan 24 jam: +0.13%
• Tertinggi 24 jam: $0.90
• Terendah 24 jam: $0.86

Pergerakan ini menunjukkan bahwa investor belum menilai ulang Token secara satu arah. Sinyal optimisme mungkin berasal dari komitmen Trust Wallet untuk mengembalikan dana atau kepercayaan terhadap kemampuan memperbaiki insiden.

Perkiraan Kerugian: Dari $6-12 juta hingga $25 juta+ dalam 2-8 minggu ke depan

Alasan kerugian bisa terus meningkat meliputi:

• Laporan tertunda dari korban
• Re-klasifikasi alamat
• Peningkatan kemampuan pelacakan transaksi pertukaran lintas chain

Perkiraan realistis dalam 2-8 minggu ke depan dapat dibagi menjadi beberapa skenario:

Ini tergantung pada: apakah pengumpulan terbatas pada input seed di v2.68, adanya serangan tambahan, dan kecepatan penghapusan domain palsu.

Kronologi Insiden

• 24 Desember: Versi 2.68 dirilis; laporan penarikan dana mulai muncul
• 25 Desember: Trust Wallet merilis versi 2.69 untuk memperbaiki bug
• 48-72 jam pertama: Kerugian total diperkirakan sekitar 6-7 juta USD

Rekomendasi Akhir dari Trust Wallet

Perusahaan saat ini mengonfirmasi sekitar 7 juta USD terdampak dan berkomitmen mengembalikan dana untuk semua pengguna yang terdampak. Panduan dari Trust Wallet sebagai berikut:

1. Matikan ekstensi versi 2.68 segera dari Chrome
2. Perbarui ke versi 2.69 dari Chrome Web Store
3. Jika sudah memasukkan seed phrase saat menggunakan 2.68: anggap seed tersebut telah disusupi, buat seed baru dan pindahkan aset
4. Jangan berinteraksi dengan pesan tidak resmi — Penipu bisa meniru tim dukungan
5. Tunggu panduan pengembalian dana dari saluran resmi

Insiden ini menjadi pengingat bahwa, meskipun ekstensi sangat praktis, pengguna harus berhati-hati terhadap risiko keamanan terkait.