Waspada! Ekstensi dompet Ethereum jahat mencuri frase benih melalui mikrotransaksi Sui

Platform keamanan blockchain Socket merilis laporan pada 13 November 2025, mengungkap ekstensi Chrome jahat bernama “Safery: Ethereum Wallet” yang mencuri frasa bijak pengguna melalui teknik serangan unik. Ekstensi ini menduduki peringkat keempat dalam pencarian “dompet Ethereum” di Chrome Web Store, dengan cara mengkode frasa mnemonik BIP-39 ke alamat blockchain Sui dan mengirimkan transaksi mikro 0.000001 SUI untuk menyelesaikan kebocoran data. Hingga laporan dirilis, ekstensi ini masih dapat diunduh setelah diunggah pada 29 September, dengan tidak ada komentar pengguna, informasi merek yang salah secara tata bahasa, dan fitur akun pengembang Gmail yang seharusnya membuat pengguna sangat waspada.

Jalur Penyebaran Ekstensi Jahat dan Strategi Penyamarannya

“Safery: Dompet Ethereum” adalah ekstensi berbahaya yang diunggah ke Chrome Web Store pada 29 September 2025. Melalui strategi optimasi mesin pencari, ekstensi ini dengan cepat merangkak ke peringkat keempat dalam hasil pencarian kata kunci “dompet Ethereum”, hanya di belakang dompet resmi seperti MetaMask, Wombat, dan Enkrypt. Penyerang merancang dengan cermat ikon ekstensi dan deskripsi, menggunakan antarmuka dengan nada biru yang mirip dengan dompet resmi dan istilah promosi seperti “aman dan dapat diandalkan”, tetapi kesalahan ejaan dalam nama merek “Safery” (seharusnya Safety) menjadi tanda pengenal pertama.

Informasi halaman yang diperluas menunjukkan bahwa alamat email kontak pengembang adalah akun Gmail gratis, bukan nama domain perusahaan profesional; deskripsi ekstensi mengandung beberapa kesalahan tata bahasa; yang terpenting, ekstensi tersebut tidak mendapatkan penilaian pengguna selama 45 hari periode online—kombinasi ciri ini membentuk alarm merah malware yang khas. Menurut kebijakan resmi Google, Chrome Web Store harus melakukan pemindaian keamanan otomatis terhadap ekstensi, tetapi jelas bahwa metode serangan baru ini berhasil melewati mekanisme deteksi. Hingga 13 November, Google belum mencabut ekstensi tersebut, dan catatan pembaruan terbaru menunjukkan bahwa penyerang masih mengoptimalkan kode pada 12 November.

Analisis Prinsip Teknis dari Mekanisme Pencurian Data

Berbeda dengan malware tradisional yang menggunakan server pengendali untuk mentransfer data, ekstensi ini mengadopsi teknik kebocoran data blockchain yang sangat tersembunyi. Ketika pengguna membuat dompet baru atau mengimpor dompet yang ada, ekstensi ini akan menangkap seluruh frasa benih BIP-39, lalu mengkodekan 12 atau 24 kata frasa mnemonik menjadi alamat blockchain SUI yang terlihat normal melalui algoritma tertentu. Setelah pengkodean selesai, ekstensi ini akan mengirimkan mikrotransaksi sebesar 0.000001 SUI (sekitar 0.000001 dolar) dari dompet yang dikendalikan penyerang ke alamat palsu ini.

Peneliti keamanan Socket, Kirill Boychenko, menjelaskan bahwa teknologi ini pada dasarnya mengubah blockchain publik menjadi lapisan transmisi data. Penyerang hanya perlu memantau transaksi di rantai Sui untuk mendekode kembali frasa benih asli dari alamat penerima. Karena jumlah transaksi sangat kecil dan tercampur dengan lalu lintas normal, pengguna biasa hampir tidak dapat mendeteksi. Yang lebih berbahaya adalah, serangan ini tidak bergantung pada alat pemantauan jaringan tradisional, karena kebocoran data dilakukan melalui pemanggilan RPC blockchain yang sah, dan firewall serta perangkat lunak antivirus biasanya tidak akan menandai perilaku ini.

Ringkasan karakteristik serangan perluasan jahat

Nama yang diperluas: Safery: Dompet Ethereum

Waktu unggah: 29 September 2025

Terakhir diperbarui: 12 November 2025

Peringkat Chrome Store: posisi keempat (cari “Dompet Ethereum”)

Metode serangan: pengkodean frasa benih ke alamat SUI

Jumlah transaksi: 0.000001 SUI

Target pencurian: frasa mnemonik BIP-39

Fitur pengenalan: tidak ada komentar, kesalahan tata bahasa, akun pengembang Gmail

Status saat ini: Masih bisa diunduh (hingga 13 November)

Panduan Identifikasi dan Langkah-Langkah Pencegahan Pengguna

Untuk pengguna biasa, mengenali jenis ekstensi berbahaya harus mengikuti beberapa prinsip kunci. Pertama, hanya instal ekstensi dari saluran resmi yang memiliki banyak ulasan nyata—MetaMask memiliki lebih dari 10 juta pengguna dan peringkat 4,8 bintang, sementara ekstensi berbahaya biasanya memiliki jumlah ulasan yang sedikit. Kedua, periksa informasi pengembang dengan teliti, proyek yang sah akan menggunakan email perusahaan dan situs web profesional, bukan email gratis. Ketiga, perhatikan konsistensi merek, kesalahan pengejaan dan desain yang buruk sering kali merupakan sinyal bahaya.

Dalam aspek operasional, para ahli keamanan menyarankan untuk menerapkan strategi perlindungan berlapis. Sebelum menginstal ekstensi baru, gunakan alat seperti VirusTotal untuk memindai ID ekstensi; periksa secara berkala perubahan izin pada ekstensi yang telah terpasang; gunakan dompet perangkat keras untuk menyimpan aset dalam jumlah besar, hindari menyimpan kunci pribadi di ekstensi browser. Bagi pengguna yang diduga terinfeksi, segera pindahkan aset ke dompet aman yang baru dibuat, dan lakukan pemindaian menyeluruh pada sistem. Koi Security menambahkan saran, pengguna harus memantau semua transaksi blockchain, terutama pengeluaran dengan jumlah yang tidak biasa, yang mungkin menandakan bahwa penyerang sedang menguji hak akses.

Evolusi Teknologi Deteksi dan Tanggapan di Industri Keamanan

Menghadapi serangan jenis baru ini, penyedia keamanan sedang mengembangkan solusi deteksi yang bersifat spesifik. Metode deteksi tradisional yang bergantung pada nama domain, URL, atau ID ekstensi sudah tidak memadai, karena penyerang sepenuhnya menggunakan infrastruktur blockchain yang sah. Solusi baru yang diajukan oleh Socket mencakup pemantauan panggilan RPC blockchain yang tidak terduga di browser, mengenali pola pengkodean frasa mnemonik, serta mendeteksi perilaku pembuatan alamat sintetik. Terutama untuk transaksi keluar yang dilakukan selama proses pembuatan atau impor dompet, tidak peduli seberapa kecil jumlahnya, harus dianggap sebagai perilaku berisiko tinggi.

Dari sudut pandang teknis, mempertahankan dari serangan semacam ini memerlukan upaya kolaboratif dari vendor browser, perusahaan keamanan, dan proyek blockchain. Chrome Web Store perlu memperkuat analisis statis dan dinamis kode ekstensi, terutama dalam meninjau panggilan API blockchain. Perangkat lunak keamanan harus memperbarui basis data fitur untuk menandai perilaku penyebaran frasa benih yang tidak sah sebagai berbahaya. Proyek blockchain juga dapat mempertimbangkan untuk mendeteksi pola transaksi yang tidak biasa di tingkat node, meskipun ini mungkin bertentangan dengan prinsip desentralisasi.

Evolusi Ancaman Keamanan Blockchain

Sejak pencurian kunci privat oleh situs phishing pada tahun 2017, hingga penggantian alamat clipboard oleh program trojan pada tahun 2021, dan kini kebocoran data mikro transaksi, ancaman keamanan Blockchain terus berkembang dan meningkat. Metode yang memungkinkan bocornya data melalui jaringan Blockchain yang sah ini mencerminkan tren baru—penyerang sedang memanfaatkan ketidakberdayaan dan anonimitas Blockchain sebagai alat serangan. Dibandingkan dengan serangan tradisional, metode ini tidak memerlukan pemeliharaan server C&C, sulit untuk melacak identitas penyerang, dan proses pengiriman data sepenuhnya “legal”.

Data sejarah menunjukkan bahwa kehilangan aset akibat insiden keamanan dompet melebihi 1 miliar dolar AS setiap tahun, di mana insiden terkait ekstensi browser meningkat dari 15% pada tahun 2023 menjadi 30% pada tahun 2025. Pertumbuhan ini mencerminkan perubahan strategi penyerang—seiring dengan meningkatnya popularitas dompet perangkat keras, serangan langsung terhadap dompet dingin menjadi lebih sulit, sehingga beralih ke ekstensi dompet panas yang relatif lebih lemah dalam perlindungan. Perlu dicatat bahwa baru-baru ini beberapa ekstensi jahat telah meniru desain UI MetaMask, tetapi perbedaan halus masih dapat dikenali.

Praktik Terbaik Keamanan Aset Digital Pribadi

Untuk memastikan keamanan aset digital, pengguna harus membangun kebiasaan keamanan yang sistematis. Pertama, gunakan strategi penyimpanan terstruktur: gunakan dompet ringan di ponsel untuk transaksi kecil sehari-hari, gunakan ekstensi browser yang dipadukan dengan tanda tangan perangkat keras untuk jumlah menengah, dan gunakan dompet dingin multi-tanda tangan untuk aset besar. Kedua, implementasikan isolasi operasi: buat perangkat khusus untuk melakukan operasi terkait dompet, dan jangan mencampurnya dengan penelusuran web sehari-hari. Ketiga, lakukan audit keamanan secara berkala: periksa catatan otorisasi, riwayat transaksi, dan izin ekstensi.

Untuk pengguna bisnis, disarankan untuk menerapkan sistem pemantauan keamanan khusus, melacak ekstensi browser yang diinstal oleh karyawan, dan mengatur mekanisme peringatan transaksi blockchain. Transfer dalam jumlah besar harus memerlukan otorisasi oleh banyak orang, dan alamat penerima harus melalui proses verifikasi. Selain itu, secara berkala memberikan pelatihan serangan rekayasa sosial kepada karyawan untuk meningkatkan kemampuan mereka dalam mengenali email phishing dan situs web palsu. Di tingkat teknis, pertimbangkan untuk menggunakan dompet kontrak pintar, dengan batas harian dan mekanisme kontak tepercaya untuk mengurangi risiko kegagalan titik tunggal.

Permintaan Kolaborasi Industri dan Respons Regulasi

Mengatasi ancaman keamanan seperti ini memerlukan kolaborasi seluruh industri. Perusahaan browser harus membangun proses audit ekstensi yang lebih ketat dan menerapkan pemeriksaan khusus untuk ekstensi yang mengakses API blockchain. Perusahaan keamanan perlu berbagi informasi ancaman dan membangun basis data karakteristik ekstensi berbahaya. Proyek blockchain dapat mempertimbangkan untuk menambahkan fungsi penandaan transaksi di tingkat protokol, memungkinkan pengguna untuk memasukkan alamat yang mencurigakan ke dalam daftar hitam.

Dari sudut pandang regulasi, negara-negara mungkin akan memperkuat persyaratan regulasi untuk aplikasi dompet kripto, termasuk audit kode yang wajib, verifikasi identitas pengembang, dan perlindungan asuransi. Regulasi MiCA Uni Eropa telah menetapkan persyaratan dasar untuk penyedia dompet, tetapi rincian pelaksanaannya masih perlu diperbaiki. Dalam jangka panjang, industri perlu membangun mekanisme deteksi penipuan dan pemulihan dana yang mirip dengan keuangan tradisional, meskipun ini bertentangan dengan karakter desentralisasi aset kripto.

Pandangan Keamanan

Ketika penyerang mulai memanfaatkan Blockchain itu sendiri sebagai media serangan, ketika microtransactions menjadi saluran kebocoran data, kita menghadapi bukan hanya tantangan teknis, tetapi juga inovasi pemikiran. Ketakutan dari metode serangan baru ini bukan terletak pada kompleksitasnya, tetapi pada kenyataan bahwa ia membalikkan pemahaman bahwa “transaksi blockchain itu aman”. Di jalan menuju mainstream dunia kripto, keamanan selalu menjadi titik terlemah - kejadian “Safery” hari ini mengingatkan kita bahwa sambil mempercayai kode, kita juga perlu membangun mekanisme verifikasi yang sistematis. Setelah semua, di dunia aset digital, keamanan bukanlah fungsi, melainkan fondasi.