Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Konversi & Investasi Otomatis
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
ETF
Dapatkan eksposur ke posisi leverage dengan mudah
Perdagangan Pre-Market
Perdagangkan token baru sebelum listing
Futures
Akses ribuan kontrak perpetual
TradFi
Emas
Satu platform aset tradisional global
Opsi
Hot
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Pengantar tentang Perdagangan Futures
Bersiap untuk perdagangan futures Anda
Acara Futures
Gabung acara & dapatkan hadiah
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
Perdagangkan aset on-chain, raih airdrop
Poin Futures
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Keuntungan dari volatilitas pasar
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Lainnya
Bagaimana Jutaan Uang Mengalir: Krisis Ekstensi Peramban Trust Wallet
Kerusakan Pertama: Apa yang Hilang dari Pengguna
Pada bulan Desember, pengguna ekstensi browser Trust Wallet menemukan sesuatu yang menakutkan—dompet mereka benar-benar kosong. Dalam hitungan menit setelah mengimpor frase seed mereka, dana menghilang melalui beberapa transaksi. Ini bukanlah proses bertahap; ini terjadi secara instan dan otomatis. Jutaan aset dipindahkan ke alamat yang dikendalikan penyerang sebelum pengguna dapat bereaksi.
Kecepatan dan skala ini menunjukkan sesuatu yang jauh lebih buruk daripada phishing standar: penyerang sudah memiliki otoritas penandatanganan.
Melacak Kembali: Bagaimana Pelanggaran Terjadi
Rangkaian kejadian dimulai dengan apa yang tampak seperti pembaruan rutin pada 24 Desember. Versi baru ekstensi browser Trust Wallet dirilis tanpa tanda bahaya yang jelas. Pengguna memperbarui secara normal, mengharapkan patch keamanan standar.
Namun tersembunyi di dalam versi ini ada sesuatu yang berbahaya.
Senjata Tersembunyi: Kode Disamarkan di Tempat Terbuka
Peneliti keamanan menemukan kode JavaScript baru (file 4482.js) yang tertanam dalam ekstensi. Bagian yang cerdas? Kode ini disamarkan sebagai analitik atau pelacakan telemetry—jenis kode pemantauan yang digunakan oleh setiap aplikasi. Kode ini juga tidak aktif terus-menerus. Sebaliknya, kode ini diam hingga terjadi pemicu tertentu.
Bagi dompet browser, ini adalah wilayah yang sangat kritis. Setiap komunikasi keluar yang tidak terduga dari ekstensi dompet merupakan risiko maksimum karena memiliki akses langsung ke kunci pribadi dan fungsi penandatanganan.
Momen Pemicu: Ketika Frase Seed Dimasukkan ke Dompet
Kode berbahaya ini hanya aktif ketika pengguna mengimpor frase seed mereka ke dalam ekstensi. Inilah saat di mana dompet mendapatkan kendali penuh atas dana Anda. Ini adalah tindakan satu kali yang berisiko tinggi—dan penyerang telah mengatur waktunya dengan sempurna.
Pengguna yang tidak pernah mengimpor frase seed (hanya menggunakan dompet yang sudah ada) lolos dari serangan. Mereka yang mengimpor? Mereka menjadi target.
Komunikasi ke Penjahat: Domain Palsu
Ketika pemicu diaktifkan, kode yang disuntikkan menghubungi server eksternal: metrics-trustwallet[.]com
Nama domain ini sengaja dirancang agar terlihat sah—seperti subdomain Trust Wallet yang asli. Tetapi domain ini didaftarkan hanya beberapa hari sebelumnya, tidak pernah didokumentasikan secara resmi, dan menghilang secara offline tak lama setelah skema terungkap.
Komunikasi keluar ini menandai saat penyerang memastikan mereka telah berhasil menginstal payload mereka dan dapat mulai menguras dompet.
Eksekusi: Dompet Dikuras Secara Real-Time
Setelah penyerang menerima sinyal bahwa frase seed telah diimpor, mereka bergerak dengan presisi:
Korban tidak memiliki kesempatan untuk campur tangan. Pada saat mereka menyadari dompet mereka kosong, penyerang sudah memindahkan dana melalui infrastruktur mereka.
Mengapa Serangan Ini Sangat Berbahaya
Insiden ini bukan pencurian dompet biasa. Ini mengungkapkan beberapa kerentanan kritis:
Ekstensi browser berisiko tinggi: Mereka memiliki akses sistem yang lebih dalam daripada aplikasi web dan dapat menyadap fungsi sensitif.
Serangan rantai pasokan nyata: Pembaruan yang dikompromikan dapat mempengaruhi ratusan ribu pengguna secara bersamaan.
Impor frase seed adalah momen kritis: Inilah saat dompet paling rentan—penyerang memahami ini dan memanfaatkannya.
Dokumentasi palsu bekerja: Nama domain yang meniru infrastruktur yang sah dapat menyembunyikan infrastruktur berbahaya di tempat yang terlihat biasa.
Apa yang Telah Dikonfirmasi
Apa yang Masih Tidak Jelas
Pelajaran: Jangan Percaya Buta
Insiden ini mengungkapkan kenyataan keamanan crypto di tahun 2024: bahkan aplikasi yang sudah mapan pun bisa dikompromikan. Ekstensi browser sangat berbahaya karena beroperasi di ruang sensitif antara komputer Anda dan aset Anda.
Pengguna harus memperlakukan impor frase seed sebagai momen keamanan paling kritis. Setiap pembaruan harus dilakukan dengan hati-hati. Dan selalu pertahankan beberapa lapisan perlindungan daripada hanya mengandalkan satu alat.
Insiden Trust Wallet membuktikan bahwa bahkan jutaan pengguna dan merek terkenal pun tidak bisa menjamin keamanan. Kewaspadaan adalah satu-satunya langkah keamanan yang nyata.