Peristiwa peretasan besar pada ekstensi Trust Wallet, klaim palsu muncul selama proses peninjauan kompensasi｜Hanya sekitar 2.600 dari 5.000 pengajuan yang dianggap sebagai kerugian yang sah

Masalah Kepercayaan Klaim Kompensasi Muncul ke Permukaan

Dompet self-custody “Trust Wallet” menghadapi tantangan baru terkait penanganan kompensasi. Menurut pengumuman CEO-nya, Ewin Cheng, terkait insiden penyusupan kode jahat ke dalam ekstensi browser yang terjadi pada 25 Desember, sekitar 5.000 klaim kompensasi diterima, sementara jumlah dompet yang benar-benar terkena dampak hanya 2.596.

Mengenai disparitas besar ini, Cheng berkomentar, “Kemungkinan besar terdapat banyak permohonan palsu atau duplikat.” Perusahaan ini mengadopsi kebijakan yang mengutamakan akurasi daripada kecepatan dan menerapkan proses verifikasi yang ketat untuk memastikan hanya korban yang sah yang mendapatkan kompensasi.

Identifikasi Korban Melalui Forensik Teknis

Tim Trust Wallet saat ini sedang melakukan proses verifikasi yang kompleks. Metode identifikasi yang digunakan perusahaan melibatkan kombinasi beberapa data poin seperti riwayat transaksi, informasi versi ekstensi, dan bukti kepemilikan dompet. Cheng juga menunjukkan bahwa ada indikasi bahwa penyerang memahami kode sumber Trust Wallet secara mendalam, dan penyelidikan forensik teknis sedang dilakukan secara paralel.

Perkiraan total kerugian sekitar 7 juta dolar (sekitar 11 miliar yen), dan pihak terkait dari perusahaan induk serta Chanpon Zhao menyatakan akan memberikan kompensasi penuh untuk kerugian yang sah. Namun, perusahaan secara tegas menyatakan bahwa proses pengembalian dana akan dilakukan secara bertahap dan telah menyiapkan sistem untuk mencegah aliran dana ke penipu.

Realitas Ancaman Keamanan

Serangan hacking yang terjadi disebabkan oleh kode jahat yang disisipkan ke dalam ekstensi Chrome browser (versi 2.68). Setelah mendapat laporan dari peneliti cryptocurrency, perusahaan merilis versi perbaikan (versi 2.69) secara darurat dan menyarankan pengguna untuk menonaktifkan ekstensi tersebut.

Hal penting yang perlu dicatat adalah bahwa tidak ada pengaruh terhadap aplikasi mobile dan ekstensi browser lainnya. Perusahaan merespons dengan cepat untuk mencegah penyebaran kerusakan, dan pada 27 Desember, mereka secara resmi membuka penerimaan klaim korban melalui portal dukungan resmi.

Peringatan terhadap Phishing

Seiring dimulainya proses klaim kompensasi, muncul risiko baru. Terdeteksi adanya upaya phishing di mana penipu mengirimkan formulir mencurigakan dengan dalih sebagai bagian dari proses kompensasi. Trust Wallet mengingatkan pengguna untuk tidak menanggapi permintaan di luar halaman dukungan resmi.

Pengguna yang mengajukan klaim harus mengirimkan informasi seperti alamat email, alamat dompet, dan alamat penerima dari penyerang melalui formulir khusus.

Peringatan untuk Industri Dompet Self-Custody Secara Umum

Insiden ini mengungkap kelemahan utama dari dompet self-custody. Dengan semakin populernya dompet berbasis ekstensi browser, jalur distribusi pembaruan perangkat lunak (rantai pasokan) menjadi potensi titik serangan baru.

Para profesional industri menyatakan, “Meskipun pengguna memegang kunci rahasia dalam dompet self-custody, distribusi aplikasi dan pembaruan perangkat lunak masih bergantung secara sentral.” Para ahli menekankan pentingnya penggunaan build yang dapat direproduksi, peningkatan pemeriksaan integritas, dan desentralisasi distribusi pembaruan untuk meningkatkan kepercayaan. Peninjauan ulang standar keamanan industri menjadi sangat mendesak.

Tindakan perusahaan ini kemungkinan akan menjadi preseden penting dalam pengembangan sistem penanganan klaim dan verifikasi keamanan di industri dompet aset kripto.