Dunia aset kripto kembali diguncang insiden keamanan yang signifikan, kali ini menimpa pengguna Trust Wallet, salah satu dompet kripto populer yang berada di bawah naungan Binance. Dilaporkan bahwa lebih dari USD 7 juta, atau setara dengan sekitar Rp 110 miliar, lenyap dari dompet pengguna setelah pembaruan ekstensi Trust Wallet untuk peramban Google Chrome. Kejadian ini menjadi sorotan tajam, tidak hanya karena nilai kerugian yang fantastis, tetapi juga karena waktu insiden yang terjadi tak lama setelah versi baru ekstensi dirilis, menimbulkan kekhawatiran serius tentang integritas perangkat lunak dalam ekosistem kripto.
Insiden ini pertama kali terungkap ke publik melalui unggahan peneliti on-chain terkemuka, ZachXBT, pada tanggal 25 Desember. Melalui platform Telegram dan X (sebelumnya Twitter), ZachXBT mengemukakan laporan dari sejumlah pengguna yang menyatakan saldo dompet mereka terkuras dalam hitungan jam. "Sejumlah pengguna Trust Wallet melaporkan dana mereka terkuras dalam beberapa jam terakhir. Penyebab pastinya belum diketahui, namun secara kebetulan ekstensi Chrome Trust Wallet baru saja mendapatkan update kemarin," tulis ZachXBT, menyoroti korelasi mencurigakan antara pembaruan ekstensi dan hilangnya dana.
Kabar ini sontak memicu kepanikan di kalangan komunitas kripto, terutama bagi mereka yang menggunakan ekstensi Trust Wallet di Google Chrome. Menanggapi situasi genting ini, tim Trust Wallet dengan cepat mengonfirmasi adanya masalah keamanan yang memengaruhi ekstensi browser versi 2.68. Melalui akun resminya di X, Trust Wallet mengeluarkan peringatan darurat, meminta pengguna agar tidak lagi membuka atau menggunakan versi tersebut dan segera memperbarui ke versi 2.69 yang telah dirilis sebagai perbaikan. Trust Wallet juga menegaskan bahwa pengguna mobile dan versi ekstensi browser lainnya tidak terdampak oleh kerentanan ini, membatasi lingkup insiden pada ekstensi Chrome versi tertentu.
Penyebab utama dari pembobolan ini diyakini berkaitan dengan kompromi kunci privat (private key) pengguna. Dompet kripto, seperti Trust Wallet, berfungsi untuk menyimpan kunci privat yang esensial. Kunci ini adalah kunci akses mutlak ke aset digital pengguna; siapa pun yang memilikinya dapat memindahkan dana tanpa izin pemilik. Dalam konteks ekstensi browser, kerentanan bisa berasal dari berbagai sumber, mulai dari bug dalam kode program yang secara tidak sengaja mengekspos kunci, serangan rantai pasok (supply chain attack) di mana kode berbahaya disuntikkan ke dalam pembaruan perangkat lunak, hingga eksploitasi zero-day yang tidak diketahui pengembang sebelumnya. Detail teknis spesifik mengenai bagaimana private key berhasil diambil masih menjadi subjek penyelidikan, namun indikasi kuat mengarah pada celah keamanan yang muncul atau terpicu oleh pembaruan ekstensi versi 2.68.
Kabar baik di tengah kekhawatiran ini datang dari pendiri sekaligus mantan CEO Binance, Changpeng Zhao (CZ). CZ secara langsung menyatakan komitmennya untuk mengganti seluruh dana pengguna yang terdampak. "Kami akan mereimburse seluruh dana pengguna yang terdampak," ujar CZ, menekankan tanggung jawab Binance sebagai pemilik Trust Wallet. Pernyataan ini sangat krusial untuk memulihkan kepercayaan pengguna terhadap Trust Wallet dan ekosistem Binance secara keseluruhan. Reimbursement semacam ini, meskipun sering terjadi dalam skala yang lebih kecil di dunia kripto, menjadi indikasi bahwa perusahaan-perusahaan besar di industri ini menyadari pentingnya menjaga keamanan dan kepercayaan pengguna, terutama ketika kerentanan sistem yang mereka kelola menjadi penyebab kerugian.
Insiden Trust Wallet ini bukanlah kasus terisolasi, melainkan cerminan dari tren peningkatan kasus pencurian kripto secara global. Laporan dari perusahaan analisis blockchain Chainalysis mencatat bahwa total nilai aset kripto yang dicuri sepanjang tahun ini mencapai angka fantastis USD 6,75 miliar. Angka ini mencakup berbagai jenis serangan, mulai dari peretasan bursa kripto besar hingga pembobolan dompet pribadi. Khususnya, jumlah dompet pribadi yang diretas melonjak drastis, mencapai 158.000 kasus, naik signifikan dari 64.000 kasus pada tahun sebelumnya. Ini menunjukkan bahwa serangan terhadap individu pengguna semakin marak dan canggih, seiring dengan semakin meluasnya adopsi aset digital.
Menariknya, meskipun jumlah kasus peretasan dompet pribadi meningkat pesat, nilai kerugian dari pembobolan dompet pribadi hanya menyumbang sekitar 20% dari total kripto yang dicuri. Angka ini turun dari 44% pada tahun sebelumnya. Fenomena ini bisa diinterpretasikan bahwa meskipun lebih banyak dompet individu yang menjadi target, kerugian per insiden mungkin tidak sebesar peretasan bursa atau protokol DeFi skala besar yang dapat menguras miliaran dolar dalam satu waktu. Namun demikian, bagi individu yang kehilangan asetnya, bahkan jumlah kecil pun tetap merupakan kerugian yang signifikan.
Kasus Trust Wallet ini kembali menegaskan risiko inheren yang melekat pada penggunaan ekstensi browser kripto. Meskipun menawarkan kenyamanan akses yang tinggi, ekstensi ini juga membuka pintu bagi potensi kerentanan keamanan yang dapat dieksploitasi oleh pihak tak bertanggung jawab. Lingkungan browser yang terhubung ke internet dan berinteraksi dengan berbagai situs web dapat menjadi medan pertempuran yang kompleks bagi keamanan siber. Pembaruan perangkat lunak, yang seharusnya membawa perbaikan dan peningkatan keamanan, terkadang justru dapat menjadi celah jika proses pengembangan atau distribusi tidak diawasi dengan ketat.
Untuk meminimalisir risiko serupa di masa mendatang, pengguna aset kripto diimbau untuk selalu menerapkan praktik keamanan terbaik. Pertama, pastikan selalu memperbarui aplikasi dompet digital ke versi terbaru, namun dengan hati-hati dan memverifikasi sumber pembaruan. Kedua, pertimbangkan untuk menggunakan dompet perangkat keras (hardware wallet) untuk menyimpan sebagian besar aset kripto Anda, terutama untuk jumlah yang signifikan. Dompet perangkat keras menyimpan kunci privat secara offline, membuatnya jauh lebih tahan terhadap serangan siber. Ketiga, berhati-hatilah terhadap tautan phishing dan situs web palsu yang mencoba mencuri informasi login atau kunci privat Anda.
Selain itu, sangat disarankan untuk tidak menyimpan seluruh aset Anda dalam satu dompet, dan jika memungkinkan, gunakan dompet yang berbeda untuk aktivitas yang berbeda (misalnya, satu untuk transaksi harian, satu untuk investasi jangka panjang). Selalu periksa izin yang Anda berikan kepada aplikasi terdesentralisasi (dApps) dan cabut izin yang tidak lagi diperlukan atau terasa mencurigakan. Aktifkan otentikasi dua faktor (2FA) di semua akun kripto Anda. Terakhir, tetaplah teredukasi tentang ancaman keamanan terbaru dan ikuti saran dari para ahli keamanan siber dalam komunitas kripto.
Insiden Trust Wallet ini menjadi pengingat pahit namun penting bagi seluruh ekosistem kripto. Baik pengembang, platform, maupun pengguna memiliki tanggung jawab kolektif untuk memperkuat pertahanan terhadap ancaman siber yang terus berevolusi. Kepercayaan adalah mata uang yang paling berharga di dunia kripto, dan setiap insiden keamanan mengikis kepercayaan tersebut. Dengan respons cepat dari Trust Wallet dan komitmen reimbursement dari Binance, diharapkan insiden ini dapat diatasi dengan baik, namun pelajaran berharga tentang pentingnya keamanan yang tak tergoyahkan harus selalu diingat untuk masa depan aset digital yang lebih aman.
