Dompet cryptocurrency Trust Wallet diserang hacker menjelang akhir tahun: kehilangan 7 juta dolar AS, Binance berjanji akan mengembalikan seluruh kerugian

Aman akhir tahun: Ekstensi browser Trust Wallet, penyedia layanan dompet cryptocurrency, dilaporkan mengalami celah keamanan besar yang menyebabkan sekitar 7 juta dolar dana pengguna dicuri. Pendiri Binance CZ segera mengonfirmasi di media sosial bahwa akan memberikan kompensasi penuh kepada semua pengguna yang terdampak. Peristiwa ini juga kembali menyoroti risiko keamanan yang semakin serius yang dihadapi oleh pemilik aset digital, dan membunyikan alarm bagi seluruh industri.

Jejak waktu serangan hacker mulai terungkap

Menurut penyelidikan dari perusahaan keamanan blockchain SlowMist, serangan siber yang direncanakan dengan matang ini jauh lebih terencana daripada yang terlihat di permukaan. Pendiri SlowMist Yu Xian mengungkapkan bahwa persiapan serangan sudah dimulai secara diam-diam sejak awal Desember. Secara spesifik, hacker setidaknya mulai mempersiapkan dari 8 Desember, dan berhasil menyisipkan backdoor di versi Trust Wallet v2.68 pada pertengahan Desember, kemudian pada hari Natal (25 Desember) mulai melakukan transfer besar-besaran dana pengguna, yang akhirnya diketahui oleh pihak resmi.

Rangkaian waktu yang rinci ini menunjukkan bahwa seluruh rantai serangan saling terkait, menunjukkan bahwa pelaku memiliki pemahaman mendalam dan persiapan terhadap sistem target.

Mekanisme kode backdoor terungkap, risiko kebocoran data pribadi mengkhawatirkan

Analisis dari segi teknis semakin menimbulkan kekhawatiran. SlowMist menunjukkan bahwa kode backdoor berbahaya mengumpulkan data melalui alat bernama PostHog, tidak hanya mencuri catatan transaksi pengguna, tetapi juga termasuk informasi pribadi paling sensitif seperti seed phrase dompet. Data yang dikumpulkan kemudian dikirim ke server yang dikendalikan oleh pelaku (api.metrics-trustwallet[.]com). Ini berarti dompet cryptocurrency pengguna yang terdampak tidak hanya berisiko kehilangan dana secara langsung, tetapi juga data pribadi mereka benar-benar bocor.

Trust Wallet kemudian mengeluarkan posting di platform komunitas, mengingatkan pengguna untuk segera memperbarui ke versi v2.69, yang telah menghapus kode backdoor tersebut.

Kecurigaan keterlibatan internal menyelimuti industri

Pengamat industri mengemukakan spekulasi yang mengkhawatirkan: celah ini sangat mungkin melibatkan keterlibatan orang dalam. Alasannya adalah, pelaku mampu langsung mengirimkan ekstensi versi baru melalui saluran resmi Trust Wallet, yang jauh melampaui kemampuan hacker eksternal biasa. SlowMist juga menunjukkan bahwa pelaku menunjukkan tingkat “familiaritas yang sangat tinggi” terhadap kode sumber Trust Wallet, yang semakin memperkuat kemungkinan keterlibatan internal.

CZ sendiri dalam tanggapannya juga tidak menolak asumsi ini, malah mengakui kemungkinan adanya keterlibatan orang dalam. Saat ini, pihak resmi sedang menyelidiki bagaimana hacker memperoleh hak akses untuk mengirim versi baru.

Krisis keamanan dompet cryptocurrency menyebar, data industri mengkhawatirkan

Peristiwa Trust Wallet ini bukanlah kejadian tunggal. Menurut data dari perusahaan analisis blockchain Chainalysis, insiden pencurian dompet pribadi meningkat menjadi 158.000 kasus pada tahun 2025, dengan kerugian sekitar 7,13 miliar dolar, meskipun jumlah pencurian menurun dibandingkan 2024, frekuensi kejadian tetap tinggi. Lebih mengejutkan lagi, dari 158.000 kasus tersebut, sekitar 80.000 korban berbeda terdampak, menunjukkan skala masalah yang luas.

Pada Februari lalu, peretasan besar-besaran di bursa Bybit menyebabkan kerugian sekitar 1,5 miliar dolar, yang semakin mengingatkan para pelaku pasar bahwa risiko keamanan aset kripto tidak terbatas pada satu platform atau produk.

Panduan darurat pengguna dan pelajaran industri

Bagi pengguna Trust Wallet, pihak resmi menyarankan segera melakukan langkah berikut: pertama, periksa versi ekstensi browser, jika belum diperbarui ke versi v2.69 ke atas, segera lakukan pembaruan; kedua, disarankan untuk mengganti seed phrase dan memindahkan aset ke perangkat penyimpanan offline yang aman; ketiga, pantau semua aktivitas akun terkait dompet tersebut untuk memastikan tidak ada kerugian dana lebih lanjut.

Peristiwa ini menjadi alarm bagi seluruh industri dompet cryptocurrency. Proses keamanan perusahaan, audit kode, manajemen karyawan, dan berbagai aspek lainnya perlu diperkuat. Pengguna saat memilih layanan dompet cryptocurrency harus lebih berhati-hati dalam menilai rekam jejak keamanan dan kekuatan teknis platform. Komitmen CZ untuk memberikan kompensasi penuh meskipun menjaga kepercayaan pengguna, namun krisis keamanan ini menjadi peringatan keras bahwa kurangnya investasi dalam keamanan dan pengendalian risiko akan berbiaya sangat mahal.