Ringkasan kejadian keamanan dompet plugin: sering diganggu oleh perangkat lunak palsu dan serangan phishing, kerentanan resmi langsung relatif sedikit

12 bulan 26 hari, pagi ini pengguna dengan basis terbesar dari dompet kripto non-custodial Trust Wallet merilis peringatan keamanan resmi, mengonfirmasi bahwa versi 2.68 dari plugin browser memiliki celah keamanan, dan detektif on-chain ZachXBT mengungkapkan bahwa ratusan pengguna Trust Wallet telah kehilangan dana, dengan kerugian minimal mencapai 6 juta dolar AS. Trust Wallet telah diunduh lebih dari 200 juta kali, dengan sekitar 17 juta pengguna aktif bulanan, menguasai sekitar 35% pangsa pasar, dan insiden keamanan ini berdampak luas. Berikut adalah beberapa insiden keamanan yang pernah dialami oleh banyak plugin browser utama: Plugin browser Trust Wallet juga pernah ditemukan memiliki celah WebAssembly pada November 2022, yang hanya mempengaruhi alamat dompet baru yang dibuat antara 14 dan 23 November 2022. Hal ini menyebabkan sekitar 170.000 dolar AS dana dicuri, Trust Wallet menemukan masalah melalui program bounty celah keamanan, memperbaiki celah tersebut, dan memberikan kompensasi penuh kepada pengguna yang terdampak. MetaMask pernah mengalami celah 「Demonic」 pada tahun 2022, yang mempengaruhi versi lama sebelum 10.11.3, di mana kunci pribadi mungkin terekspos di memori browser, tetapi tidak ada kerugian dana besar yang diketahui. Setelah itu, selama 2023 hingga 2025, plugin dompet resmi MetaMask beroperasi dengan aman, tetapi sering terkena dampak oleh ekstensi palsu. Laporan Chainalysis menunjukkan bahwa pada tahun 2025, insiden pencurian pengguna MetaMask yang tidak biasa meningkat secara signifikan, dengan penyebab utama adalah malware palsu dan phishing, bukan keamanan plugin dompet itu sendiri. MetaMask merilis laporan keamanan bulanan tentang hal ini, tetapi sebagai plugin dompet Ethereum yang populer, tetap menjadi target utama penipuan palsu. Phantom (plugin dompet utama Solana) juga pernah terkena celah 「Demonic」 pada tahun 2022, tetapi juga tanpa kerugian dana besar yang diketahui. Pada awal 2025, muncul kontroversi keamanan terkait plugin Phantom, di mana seorang pengguna kehilangan 500.000 dolar AS, yang disebabkan oleh kunci pribadi yang tidak dienkripsi oleh Phantom di memori, memungkinkan serangan hacker, dan mengajukan gugatan class action di pengadilan distrik Selatan New York. Pernyataan resmi Phantom dengan tegas membantah semua tuduhan tersebut, menyatakan bahwa gugatan tersebut 「tidak berdasar」, dan menegaskan bahwa Phantom adalah dompet non-custodial, sehingga tanggung jawab keamanan dana berada di pengguna. Rabby Wallet (plugin ramah DeFi) pada tahun 2022 mengalami pencurian sekitar 200.000 dolar AS aset kripto akibat celah Rabby Swap, yang bukan berasal dari plugin itu sendiri tetapi dari fitur Swap bawaan. Cara paling umum dompet browser dicuri adalah melalui pengunduhan aplikasi palsu, dan pada tahun 2025, toko Firefox mengalami beberapa insiden serupa yang terjadi secara berulang, mempengaruhi banyak plugin utama seperti MetaMask, Phantom, Trust Wallet, dan lainnya. Sebaliknya, celah langsung dari pihak resmi pada plugin jarang terjadi, disarankan agar pengguna hanya mengunduh dari Chrome Web Store resmi untuk memastikan keamanan dana.