JAKARTA – Trust Wallet, dompet kripto yang berada di bawah kepemilikan Binance, menjadi sasaran peretasan serius yang mengakibatkan kerugian lebih dari US$7 juta.

Insiden tersebut terjadi pada 25 Desember dan melibatkan ekstensi browser Google Chrome Trust Wallet yang diketahui telah disusupi kode berbahaya.

CEO Trust Wallet, Eowyn Chen, dalam pernyataan resminya di platform X pada Sabtu, mengatakan bahwa kasus ini masih dalam tahap penyelidikan.

“Ini adalah investigasi yang sedang berlangsung. Saya akan berfokus pada fakta dan pembaruan yang telah dikonfirmasi, hipotesis yang sangat mungkin, serta langkah-langkah yang kami ambil untuk menghentikan kerugian pengguna,” ujar Chen, dikutip dari livemint.com.

Hasil investigasi sementara menunjukkan bahwa peretasan hanya berdampak pada pengguna Trust Wallet Browser Extension versi 2.68 yang membuka dan melakukan login sebelum 26 Desember pukul 11.00 UTC.

Chen menegaskan bahwa pengguna aplikasi seluler, pengguna versi ekstensi lain, serta pengguna versi 2.68 yang login setelah waktu tersebut, tidak terdampak dan aset mereka tetap aman.

Untuk menekan dampak kerugian, Trust Wallet telah mengambil sejumlah langkah darurat. Domain berbahaya yang digunakan dalam serangan telah dilaporkan ke registrar NiceNIC dan kini telah ditangguhkan.

Selain itu, seluruh API rilis ekstensi dinonaktifkan sementara selama dua pekan guna mencegah pembaruan baru. Perusahaan juga mulai mengumpulkan laporan dari korban dan memproses penggantian dana, meskipun sejumlah detail teknis masih dalam pembahasan.

Dari sisi teknis, Trust Wallet mengungkap bahwa ekstensi berbahaya tersebut tidak dirilis melalui prosedur internal resmi. Chen menyebut ada kemungkinan besar ekstensi itu dipublikasikan secara eksternal dengan memanfaatkan API key Chrome Web Store, sehingga lolos dari mekanisme pemeriksaan standar. Salah satu hipotesis yang tengah diselidiki adalah kebocoran API key.

Serangan ini memanfaatkan kode berbahaya yang disamarkan sebagai fitur analitik dalam ekstensi versi 2.68. Pengguna yang menginstal versi tersebut dan memasukkan seed phrase tanpa sadar memberikan akses penuh ke dompet mereka, sehingga pelaku dapat memulihkan dompet di tempat lain dan menguras seluruh aset.

Pendiri Binance, Changpeng Zhao, memastikan bahwa seluruh pengguna yang terdampak akan menerima penggantian penuh. Ia juga menyatakan bahwa tim sedang menyelidiki bagaimana pembaruan berbahaya tersebut dapat lolos, termasuk kemungkinan keterlibatan pihak internal. (DH)