Perdagangan
Dasar
Spot
Perdagangkan kripto dengan bebas
Perdagangan Margin
Perbesar keuntungan Anda dengan leverage
Perdagangan Konversi & Blok
0 Fees
Perdagangkan dalam ukuran berapa pun tanpa biaya dan tanpa slippage
Token Leverage
Dapatkan eksposur ke posisi leverage dengan mudah
Pre-Market
Perdagangkan token baru sebelum di list secara resmi
Futures
Futures
Ratusan kontrak diselesaikan dalam USDT atau BTC
Opsi
HOT
Perdagangkan Opsi Vanilla ala Eropa
Akun Terpadu
Memaksimalkan efisiensi modal Anda
Perdagangan Demo
Futures Kickoff
Bersiap untuk perdagangan futures Anda
Acara Futures
Berpartisipasi dalam acara untuk memenangkan hadiah besar
Perdagangan Demo
Gunakan dana virtual untuk merasakan perdagangan bebas risiko
Earn
Peluncuran
CandyDrop
Koleksi permen untuk mendapatkan airdrop
Launchpool
Staking cepat, dapatkan token baru yang potensial
HODLer Airdrop
Pegang GT dan dapatkan airdrop besar secara gratis
Launchpad
Jadi yang pertama untuk proyek token besar berikutnya
Poin Alpha
NEW
Perdagangkan aset on-chain dan nikmati hadiah airdrop!
Poin Futures
NEW
Dapatkan poin futures dan klaim hadiah airdrop
Investasi
Simple Earn
Dapatkan bunga dengan token yang menganggur
Investasi Otomatis
Investasi otomatis secara teratur
Investasi Ganda
Beli saat harga rendah dan jual saat harga tinggi untuk mengambil keuntungan dari fluktuasi harga
Soft Staking
Dapatkan hadiah dengan staking fleksibel
Pinjaman Kripto
0 Fees
Menjaminkan satu kripto untuk meminjam kripto lainnya
Pusat Peminjaman
Hub Peminjaman Terpadu
Pusat Kekayaan VIP
Manajemen kekayaan kustom memberdayakan pertumbuhan Aset Anda
Manajemen Kekayaan Pribadi
Manajemen aset kustom untuk mengembangkan aset digital Anda
Dana Quant
Tim manajemen aset teratas membantu Anda mendapatkan keuntungan tanpa kesulitan
Staking
Stake kripto untuk mendapatkan penghasilan dalam produk PoS
Smart Leverage
NEW
Tidak ada likuidasi paksa sebelum jatuh tempo, bebas khawatir akan keuntungan leverage
GSUD Minting
Gunakan USDT/USDC untuk mint GUSD untuk imbal hasil tingkat treasury
Lainnya
Topik Trending
Lihat Lebih Banyak19.5K Popularitas
32.61K Popularitas
16.7K Popularitas
474 Popularitas
257 Popularitas
Hot Gate Fun
Lihat Lebih Banyak- MC:$4.42KHolder:24.08%
- MC:$3.81KHolder:21.04%
- MC:$3.56KHolder:10.00%
- 4
王
王氏
MC:$3.56KHolder:10.00% - 5
踏韭
踏韭
MC:$3.94KHolder:121.83%
Sematkan
Bagaimana Jutaan Uang Mengalir: Krisis Ekstensi Peramban Trust Wallet
Kerusakan Pertama: Apa yang Hilang dari Pengguna
Pada bulan Desember, pengguna ekstensi browser Trust Wallet menemukan sesuatu yang menakutkan—dompet mereka benar-benar kosong. Dalam hitungan menit setelah mengimpor frase seed mereka, dana menghilang melalui beberapa transaksi. Ini bukanlah proses bertahap; ini terjadi secara instan dan otomatis. Jutaan aset dipindahkan ke alamat yang dikendalikan penyerang sebelum pengguna dapat bereaksi.
Kecepatan dan skala ini menunjukkan sesuatu yang jauh lebih buruk daripada phishing standar: penyerang sudah memiliki otoritas penandatanganan.
Melacak Kembali: Bagaimana Pelanggaran Terjadi
Rangkaian kejadian dimulai dengan apa yang tampak seperti pembaruan rutin pada 24 Desember. Versi baru ekstensi browser Trust Wallet dirilis tanpa tanda bahaya yang jelas. Pengguna memperbarui secara normal, mengharapkan patch keamanan standar.
Namun tersembunyi di dalam versi ini ada sesuatu yang berbahaya.
Senjata Tersembunyi: Kode Disamarkan di Tempat Terbuka
Peneliti keamanan menemukan kode JavaScript baru (file 4482.js) yang tertanam dalam ekstensi. Bagian yang cerdas? Kode ini disamarkan sebagai analitik atau pelacakan telemetry—jenis kode pemantauan yang digunakan oleh setiap aplikasi. Kode ini juga tidak aktif terus-menerus. Sebaliknya, kode ini diam hingga terjadi pemicu tertentu.
Bagi dompet browser, ini adalah wilayah yang sangat kritis. Setiap komunikasi keluar yang tidak terduga dari ekstensi dompet merupakan risiko maksimum karena memiliki akses langsung ke kunci pribadi dan fungsi penandatanganan.
Momen Pemicu: Ketika Frase Seed Dimasukkan ke Dompet
Kode berbahaya ini hanya aktif ketika pengguna mengimpor frase seed mereka ke dalam ekstensi. Inilah saat di mana dompet mendapatkan kendali penuh atas dana Anda. Ini adalah tindakan satu kali yang berisiko tinggi—dan penyerang telah mengatur waktunya dengan sempurna.
Pengguna yang tidak pernah mengimpor frase seed (hanya menggunakan dompet yang sudah ada) lolos dari serangan. Mereka yang mengimpor? Mereka menjadi target.
Komunikasi ke Penjahat: Domain Palsu
Ketika pemicu diaktifkan, kode yang disuntikkan menghubungi server eksternal: metrics-trustwallet[.]com
Nama domain ini sengaja dirancang agar terlihat sah—seperti subdomain Trust Wallet yang asli. Tetapi domain ini didaftarkan hanya beberapa hari sebelumnya, tidak pernah didokumentasikan secara resmi, dan menghilang secara offline tak lama setelah skema terungkap.
Komunikasi keluar ini menandai saat penyerang memastikan mereka telah berhasil menginstal payload mereka dan dapat mulai menguras dompet.
Eksekusi: Dompet Dikuras Secara Real-Time
Setelah penyerang menerima sinyal bahwa frase seed telah diimpor, mereka bergerak dengan presisi:
Korban tidak memiliki kesempatan untuk campur tangan. Pada saat mereka menyadari dompet mereka kosong, penyerang sudah memindahkan dana melalui infrastruktur mereka.
Mengapa Serangan Ini Sangat Berbahaya
Insiden ini bukan pencurian dompet biasa. Ini mengungkapkan beberapa kerentanan kritis:
Ekstensi browser berisiko tinggi: Mereka memiliki akses sistem yang lebih dalam daripada aplikasi web dan dapat menyadap fungsi sensitif.
Serangan rantai pasokan nyata: Pembaruan yang dikompromikan dapat mempengaruhi ratusan ribu pengguna secara bersamaan.
Impor frase seed adalah momen kritis: Inilah saat dompet paling rentan—penyerang memahami ini dan memanfaatkannya.
Dokumentasi palsu bekerja: Nama domain yang meniru infrastruktur yang sah dapat menyembunyikan infrastruktur berbahaya di tempat yang terlihat biasa.
Apa yang Telah Dikonfirmasi
Apa yang Masih Tidak Jelas
Pelajaran: Jangan Percaya Buta
Insiden ini mengungkapkan kenyataan keamanan crypto di tahun 2024: bahkan aplikasi yang sudah mapan pun bisa dikompromikan. Ekstensi browser sangat berbahaya karena beroperasi di ruang sensitif antara komputer Anda dan aset Anda.
Pengguna harus memperlakukan impor frase seed sebagai momen keamanan paling kritis. Setiap pembaruan harus dilakukan dengan hati-hati. Dan selalu pertahankan beberapa lapisan perlindungan daripada hanya mengandalkan satu alat.
Insiden Trust Wallet membuktikan bahwa bahkan jutaan pengguna dan merek terkenal pun tidak bisa menjamin keamanan. Kewaspadaan adalah satu-satunya langkah keamanan yang nyata.