Ikhtisar Insiden Keamanan Plugin Wallet: Dihantui oleh Perangkat Lunak Palsu dan Serangan Phishing, Kerentanan Resmi Langsung Sangat Sedikit

BlockBeats News, 26 Desember. Pagi ini, Trust Wallet secara resmi mengumumkan adanya kerentanan keamanan pada ekstensi browser Trust Wallet versi 2.68. Menurut pemantauan detektif on-chain ZachXBT, ratusan pengguna Trust Wallet telah kehilangan dana mereka, dengan total kerugian setidaknya $6 juta. Beberapa ekstensi browser utama telah mengalami insiden keamanan berikut:

Ekstensi browser Trust Wallet sebelumnya ditemukan memiliki kerentanan WebAssembly pada November 2022, yang hanya memengaruhi alamat dompet baru yang dibuat antara 14 hingga 23 November 2022. Hal ini menyebabkan sekitar $170.000 dicuri. Trust Wallet menemukan masalah ini melalui program bug bounty, menambal kerentanan tersebut, dan memberikan kompensasi penuh kepada pengguna yang terdampak.

MetaMask mengalami kerentanan "Demonic" pada 2022, yang memengaruhi versi lama sebelum 10.11.3, di mana private key dapat terekspos di memori browser. Namun, tidak ada kerugian dana berskala besar yang diketahui. Selanjutnya, antara 2023 dan 2025, ekstensi dompet resmi MetaMask beroperasi dengan aman. Namun, ekstensi ini sering terdampak oleh program ekstensi palsu. Laporan Chainalysis menunjukkan peningkatan signifikan pada kejadian pencurian abnormal pengguna MetaMask pada 2025, terutama disebabkan oleh perangkat lunak jahat palsu dan phishing, bukan karena keamanan dompet plugin itu sendiri. MetaMask kini merilis laporan keamanan bulanan terkait hal ini. Namun, sebagai dompet plugin Ethereum yang populer, MetaMask tetap menjadi target utama pemalsuan.

Phantom (ekstensi dompet utama Solana) juga menghadapi kerentanan "Demonic" pada 2022 tanpa adanya kerugian dana besar yang diketahui. Pada awal 2025, muncul kontroversi keamanan terkait ekstensi dompet Phantom ketika seorang pengguna kehilangan $500.000 akibat private key disimpan di memori tanpa enkripsi Phantom, sehingga terjadi serangan hacker. Gugatan class-action diajukan di Southern District of New York. Tim Phantom dengan tegas membantah semua tuduhan, menyatakan bahwa gugatan tersebut "tidak berdasar" dan menekankan bahwa Phantom adalah dompet non-custodial, sehingga pengguna bertanggung jawab atas keamanan dana mereka sendiri.

Rabby Wallet (ekstensi ramah DeFi) mengalami peretasan pada 2022 akibat kerentanan Rabby Swap, yang menyebabkan hacker mencuri sekitar $200.000 aset kripto. Kerentanan ini berasal bukan dari plugin itu sendiri, melainkan dari fitur Swap bawaan.

Cara paling umum ekstensi dompet browser disusupi adalah melalui unduhan aplikasi palsu. Pada 2025, beberapa insiden seperti ini terjadi di toko Firefox, memengaruhi beberapa dompet plugin kripto utama seperti MetaMask, Phantom, Trust Wallet, dan lain-lain. Sebaliknya, kerentanan langsung dari plugin resmi relatif jarang terjadi. Pengguna disarankan hanya mengunduh dari Chrome Web Store resmi untuk memastikan keamanan dana.