Ikhtisar insiden keamanan dompet plugin: sering terganggu oleh perangkat lunak palsu dan serangan phishing, sementara kerentanan resmi relatif sedikit

BlockBeats melaporkan, pada 26 Desember pagi ini, Trust Wallet secara resmi merilis peringatan keamanan, mengonfirmasi bahwa versi 2.68 dari ekstensi browser Trust Wallet memiliki kerentanan keamanan. Menurut pemantauan detektif on-chain ZachXBT, ratusan pengguna Trust Wallet telah kehilangan dana mereka, dengan total kerugian setidaknya mencapai 6 juta dolar AS. Berikut adalah beberapa insiden keamanan yang pernah dialami oleh ekstensi browser utama:

Ekstensi browser Trust Wallet juga pernah ditemukan memiliki kerentanan WebAssembly pada November 2022, yang hanya memengaruhi alamat dompet baru yang dibuat antara 14 hingga 23 November 2022. Sekitar 170 ribu dolar AS dana dicuri akibat insiden ini. Trust Wallet menemukan masalah tersebut melalui program bug bounty, memperbaiki kerentanan, dan memberikan kompensasi penuh kepada pengguna yang terdampak.

Pada tahun 2022, MetaMask pernah mengalami kerentanan "Demonic" yang memengaruhi versi sebelum 10.11.3, di mana private key dapat terekspos di memori browser, namun tidak ada laporan kerugian dana dalam skala besar. Setelah itu, selama periode 2023 hingga 2025, ekstensi dompet resmi MetaMask berjalan dengan aman, namun sering kali menjadi target ekstensi palsu. Laporan Chainalysis menunjukkan bahwa pada tahun 2025, insiden pencurian pengguna MetaMask meningkat tajam, yang terutama disebabkan oleh perangkat lunak jahat palsu dan phishing, bukan karena keamanan ekstensi dompet itu sendiri. MetaMask merilis laporan keamanan bulanan terkait hal ini, namun sebagai ekstensi dompet Ethereum yang populer, tetap menjadi target utama pemalsuan.

Phantom (ekstensi dompet utama Solana) juga pernah terdampak kerentanan "Demonic" pada tahun 2022, namun juga tidak ada laporan kerugian dana dalam skala besar. Pada awal 2025, muncul kontroversi keamanan yang melibatkan ekstensi dompet Phantom, di mana seorang pengguna kehilangan 500 ribu dolar AS, yang disebabkan oleh private key yang tidak dienkripsi oleh Phantom dan disimpan di memori, sehingga memungkinkan serangan hacker, dan kasus ini diajukan sebagai gugatan class action di Pengadilan Distrik Selatan New York. Pihak resmi Phantom dengan tegas membantah semua tuduhan, menyatakan bahwa gugatan tersebut "tidak berdasar", dan menegaskan bahwa Phantom adalah dompet non-custodial, sehingga tanggung jawab keamanan dana ada pada pengguna.

Rabby Wallet (ekstensi ramah DeFi) pada tahun 2022 mengalami pencurian aset kripto sekitar 200 ribu dolar AS akibat kerentanan pada fitur Rabby Swap, di mana kerentanan tersebut bukan berasal dari ekstensi itu sendiri, melainkan dari fitur Swap internal.

Cara pencurian paling umum pada dompet ekstensi browser adalah melalui unduhan aplikasi palsu. Pada tahun 2025, terjadi beberapa ledakan insiden semacam ini di toko Firefox, yang memengaruhi beberapa ekstensi dompet kripto utama seperti MetaMask, Phantom, dan Trust Wallet. Sebaliknya, kerentanan resmi langsung dari ekstensi relatif jarang terjadi. Disarankan agar pengguna hanya mengunduh dari Chrome Web Store resmi untuk memastikan keamanan dana.