Penjelasan Peretasan TrustWallet: Dari Pembaruan hingga Pengurasan Dompet senilai $16M dalam $TWT, BTC, ETH

Apa yang Tepat Terjadi dalam Insiden Trust Wallet

Langkah 1: Pembaruan Ekstensi Browser Baru Dirilis

Pembaruan baru untuk ekstensi browser Trust Wallet dirilis pada 24 Desember.

• Pembaruan tersebut tampak rutin.

• Tidak ada peringatan keamanan besar yang menyertainya.

• Pengguna menginstalnya melalui proses pembaruan biasa.

Pada titik ini, tidak ada yang mencurigakan.

Langkah 2: Kode Baru Ditambahkan ke Ekstensi

Setelah pembaruan, peneliti yang memeriksa file ekstensi memperhatikan perubahan pada sebuah file JavaScript yang dikenal sebagai 4482.js.

Pengamatan utama:

• Kode baru tidak ada di versi sebelumnya.

• Kode tersebut memperkenalkan permintaan jaringan yang terkait dengan tindakan pengguna.

Ini penting karena dompet browser sangat sensitif; setiap logika keluar baru menimbulkan risiko tinggi.

Langkah 3: Kode Menyamar sebagai “Analytics”

Logika yang ditambahkan tampak seperti kode analitik atau telemetri.

Secara khusus:

• Tampak seperti logika pelacakan yang digunakan oleh SDK analitik umum.

• Tidak aktif setiap saat.

• Hanya aktif di bawah kondisi tertentu.

Desain ini membuatnya lebih sulit dideteksi selama pengujian kasual.

Langkah 4: Kondisi Pemicu — Mengimpor Seed Phrase

Rekayasa balik komunitas menunjukkan bahwa logika ini dipicu saat pengguna mengimpor seed phrase ke dalam ekstensi.

Mengapa ini penting:

• Mengimpor seed phrase memberi kontrol penuh kepada dompet.

• Ini adalah momen satu kali yang bernilai tinggi.

• Kode berbahaya hanya perlu bertindak sekali saja.

Pengguna yang hanya menggunakan dompet yang sudah ada mungkin tidak memicu jalur ini.

Langkah 5: Data Dompet Dikirim ke Luar

Ketika kondisi pemicu terjadi, kode diduga mengirim data ke endpoint eksternal:

metrics-trustwallet[.]com

Apa yang menimbulkan alarm:

• Domain tersebut sangat mirip dengan subdomain Trust Wallet yang sah.

• Terdaftar hanya beberapa hari sebelumnya.

• Tidak didokumentasikan secara publik.

• Kemudian offline.

Setidaknya, ini mengonfirmasi komunikasi keluar yang tidak terduga dari ekstensi dompet.

Langkah 6: Penyerang Bertindak Segera

Tak lama setelah impor seed phrase, pengguna melaporkan:

• Dompet dibersihkan dalam hitungan menit.

• Banyak aset dipindahkan dengan cepat.

• Tidak diperlukan interaksi pengguna lebih lanjut.

Perilaku di blockchain menunjukkan:

• Pola transaksi otomatis.

• Banyak alamat tujuan.

• Tidak ada alur persetujuan phishing yang jelas.

Ini menunjukkan bahwa penyerang sudah memiliki akses cukup untuk menandatangani transaksi.

Langkah 7: Dana Dikonsolidasikan di Berbagai Alamat

Aset yang dicuri dialihkan melalui beberapa dompet yang dikendalikan penyerang.

Mengapa ini penting:

• Menunjukkan koordinasi atau skrip otomatis.

• Mengurangi ketergantungan pada satu alamat.

• Sesuai dengan perilaku yang terlihat dalam eksploitasi terorganisir.

Perkiraan berdasarkan alamat yang dilacak menunjukkan bahwa jutaan dolar dipindahkan, meskipun totalnya bervariasi.

Langkah 8: Domain Menghilang

Setelah perhatian meningkat:

• Domain mencurigakan berhenti merespons.

• Tidak ada penjelasan publik yang langsung muncul.

• Cuplikan layar dan bukti cache menjadi sangat penting.

Ini konsisten dengan penyerang yang menghancurkan infrastruktur setelah terungkap.

Langkah 9: Pengakuan Resmi Muncul Kemudian

Trust Wallet kemudian mengonfirmasi:

• Insiden keamanan mempengaruhi versi tertentu dari ekstensi browser.

• Pengguna mobile tidak terpengaruh.

• Pengguna disarankan untuk memperbarui atau menonaktifkan ekstensi.

Namun, tidak ada penjelasan teknis lengkap yang diberikan segera untuk menjelaskan:

• Mengapa domain tersebut ada.

• Apakah seed phrase terungkap.

• Apakah ini masalah internal, pihak ketiga, atau eksternal.

Kesenjangan ini memicu spekulasi yang berkelanjutan.

Apa yang Dikonfirmasi

• Pembaruan ekstensi browser memperkenalkan perilaku keluar yang baru.

• Pengguna kehilangan dana segera setelah mengimpor seed phrase.

• Insiden terbatas pada versi tertentu.

• Trust Wallet mengakui adanya masalah keamanan.

Apa yang Sangat Dicurigai

• Masalah rantai pasokan atau injeksi kode berbahaya.

• Seed phrase atau kemampuan penandatanganan yang terungkap.

• Logika analitik disalahgunakan atau digunakan sebagai senjata.

Apa yang Masih Tidak Diketahui

• Apakah kode tersebut sengaja berbahaya atau dikompromikan dari hulu.

• Berapa banyak pengguna yang terpengaruh.

• Apakah data lain diambil.

• Attribusi pasti terhadap para penyerang.

Mengapa Insiden Ini Penting

Ini bukan phishing tipikal.

Ini menyoroti:

• Bahaya ekstensi browser.

• Risiko mempercayai pembaruan secara buta.

• Bagaimana kode analitik dapat disalahgunakan.

• Mengapa menangani seed phrase adalah momen paling kritis dalam keamanan dompet.

Bahkan kerentanan yang singkat dapat memiliki konsekuensi serius.