Pangkalahatang-ideya ng mga insidente sa seguridad ng plugin wallet: Madalas na problema ang pekeng software at phishing attacks, habang kakaunti ang direktang opisyal na kahinaan

BlockBeats balita, Disyembre 26, ngayong umaga ay naglabas ng opisyal na security alert ang Trust Wallet, kinumpirma na mayroong security vulnerability ang Trust Wallet browser extension na bersyon 2.68. Ayon sa on-chain investigator na si ZachXBT, daan-daang Trust Wallet users na ang nanakawan ng pondo, at ang kabuuang halaga ng pagkawala ay umabot na ng hindi bababa sa 6 milyong US dollars. Ang mga sumusunod ay ilan sa mga pangunahing security incidents na naranasan ng iba't ibang browser extension:

Noong Nobyembre 2022, natuklasan din na may WebAssembly vulnerability ang Trust Wallet browser extension, ngunit apektado lamang ang mga bagong wallet address na ginawa mula Nobyembre 14 hanggang 23, 2022. Nagresulta ito sa pagnanakaw ng humigit-kumulang 170,000 US dollars na pondo. Natuklasan ang isyu sa pamamagitan ng bug bounty program ng Trust Wallet, na agad namang inayos ang bug at lubos na binayaran ang mga naapektuhang user.

Noong 2022, nagkaroon ng "Demonic" vulnerability ang MetaMask na nakaapekto sa mga lumang bersyon bago ang 10.11.3, kung saan maaaring ma-expose ang private key sa browser memory, ngunit walang naitalang malakihang pagkawala ng pondo. Mula 2023 hanggang 2025, ligtas na gumana ang opisyal na MetaMask wallet extension, ngunit madalas itong tamaan ng mga pekeng extension. Ayon sa ulat ng Chainalysis, tumaas nang husto ang insidente ng pagnanakaw sa mga MetaMask user noong 2025, pangunahing sanhi ay ang pekeng malicious software at phishing, hindi ang mismong seguridad ng extension wallet. Naglalabas ng buwanang security report ang MetaMask, ngunit bilang isang popular na Ethereum extension wallet, nananatili itong pangunahing target ng mga peke.

Ang Phantom (pangunahing Solana wallet extension) ay naapektuhan din ng "Demonic" vulnerability noong 2022, ngunit wala ring naitalang malakihang pagkawala ng pondo. Noong unang bahagi ng 2025, nagkaroon ng security controversy kaugnay ng Phantom wallet extension, kung saan isang user ang nawalan ng 500,000 US dollars, na iniuugnay sa private key na hindi na-encrypt ng Phantom at nai-store sa memory, dahilan ng hacking, at nagresulta sa collective lawsuit sa Southern District Court ng New York. Mariing itinanggi ng Phantom ang lahat ng akusasyon, tinawag ang kaso na "walang basehan," at binigyang-diin na ang Phantom ay isang non-custodial wallet at ang responsibilidad sa seguridad ng pondo ay nasa user.

Noong 2022, ang Rabby Wallet (DeFi-friendly extension) ay nagkaroon ng Rabby Swap vulnerability na naging sanhi ng pagnanakaw ng humigit-kumulang 200,000 US dollars na crypto asset ng hacker. Ang bug ay hindi mula sa mismong extension kundi sa built-in na Swap function.

Ang pinakakaraniwang paraan ng pagnanakaw sa browser extension wallet ay ang pag-download ng pekeng application. Noong 2025, maraming beses na nagkaroon ng ganitong insidente sa Firefox store, na nakaapekto sa MetaMask, Phantom, Trust Wallet at iba pang pangunahing crypto extension wallet. Sa kabilang banda, mas kaunti ang direktang opisyal na bug ng extension. Pinapayuhan ang mga user na mag-download lamang mula sa opisyal na Chrome Web Store upang matiyak ang seguridad ng kanilang pondo.