TrustWallet yang didukung Binance, salah satu dompet self-custody paling populer di dunia kripto, mengalami peretasan yang tidak biasa. Pelaku berhasil mencegat seed phrase, memulihkan dompet secara otomatis, dan mencuri lebih dari $7 juta dalam berbagai aset kripto.
Inilah cara TrustWallet diretas, dan mengapa dampaknya begitu menghancurkan
Hari ini, 26 Desember 2025, TrustWallet, dompet kripto multichain utama, mengalami serangan hacker. Seperti yang diungkapkan oleh peneliti keamanan siber, kode berbahaya — JavaScript payload — disuntikkan ke build v2.68.0 pada ekstensi browser TrustWallet untuk Google Chrome.
TrustWallet meluncurkan ekstensi Chrome yang terinfeksi v2.68.0 pada 24 Desember 2025. Tak lama setelah itu, pengguna yang mengimpor atau mengakses seed mereka melalui versi ini langsung kehilangan dana.
Secara teknis, vektor serangannya adalah sebagai berikut: elemen perangkat lunak berbahaya dikenali oleh dompet sebagai modul analytics. Namun, modul ini berhasil mengakses seed phrase dan mengirimkannya ke domain yang dibuat beberapa hari sebelumnya.
Untuk mencegah terungkapnya hal ini, domain-domain tersebut disamarkan dengan nama seperti "TrustWallet Metrics," "TrustWallet Metrics API" dan judul serupa. Pada saat yang sama, begitu mnemonic bocor, pelaku hanya perlu memulihkan ("import") dompet pada infrastruktur mereka dan menarik dana secara sah.
Desain ini membuat peretasan sangat berbahaya dan senyap; dengan seed phrase yang sudah dicuri oleh pelaku, persetujuan, otorisasi, atau bahkan membuka dompet tidak lagi diperlukan. Itulah mengapa satu-satunya rekomendasi dari peneliti keamanan adalah memutuskan komputer dengan TrustWallet yang terpasang dari internet.
Serangan ini mempengaruhi dana di Bitcoin (BTC), Solana (SOL), BNB Smart Chain (BSC) dan sejumlah L2 di ekosistem EVM.
Tim TrustWallet memecah keheningan: Apakah kerugian akan diganti?
Hasil curian langsung dikirim ke ChangeNOW, FixedFloat, KuCoin, dan HTX. Awalnya, pengguna bahkan tidak dapat menghitung berapa banyak kripto yang dicuri.
Menurut pernyataan resmi dari TrustWallet, total kerugian bersih mencapai $7 juta dalam ekuivalen. Para pengembang telah merilis build v2.69.0 dan mendorong semua orang untuk segera memperbaruinya.
Tim TrustWallet memastikan bahwa setiap korban akan mendapatkan penggantian dana. Detail pasti dari program kompensasi ini masih akan diumumkan.
Harga TWT langsung turun ke $0,76, yang terendah sejak pertengahan September, kehilangan 8% dalam waktu singkat. Pada saat berita ini ditulis, kerugian tersebut telah tertutupi.
