2025-12-29 15:22:33

Dalam dunia ini, selama bertahun-tahun berjuang dan berjuang, saya telah melihat banyak badai dan gelombang, tetapi kejadian peretasan pada ekstensi browser dompet populer ini benar-benar membuat orang merasa dingin di belakang—versi resmi dari pihak resmi ternyata menjadi alat peretasan, pukulan keras ini menyadarkan banyak orang akan ketergantungan mereka terhadap "ilusi keamanan".

**Garis waktu: Perampokan Natal yang dirancang dengan cermat**

Cerita dimulai dari 8 Desember. Peretas mendaftarkan domain tiruan api.metrics-trustwallet[.]com, bersembunyi selama dua minggu tanpa tindakan. Hingga 22 Desember, versi v2.68.0 yang telah dimanipulasi didistribusikan melalui saluran resmi.

Pada hari Natal, transfer dana mulai dilakukan. Data dari ahli pelacakan rantai ZachXBT menunjukkan bahwa dalam beberapa hari saja, setidaknya 6 juta hingga 7 juta dolar AS dalam aset kripto hilang begitu saja, dengan ratusan pengguna menjadi korban.

**Kecerdikan sesungguhnya dari peretas**

Ini bukan serangan server yang kasar. Peretas menyisipkan alat analisis data PostHog yang tampaknya tidak berbahaya—jenis yang biasa digunakan oleh perusahaan dompet. Tapi alat ini menyisakan pintu belakang: ketika pengguna mengisi ulang dan membuka kembali dompet, ia secara diam-diam mencuri frase pemulihan.

Ini adalah contoh klasik serangan rantai pasokan. Bukan dengan meretas server, tetapi dengan menyusupi saluran distribusi resmi—mengelabui pengguna agar menyerahkan kunci rahasia mereka kepada pencuri.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

14 Suka

Hadiah
14
6
Posting ulang
Bagikan

Komentar

0/400

FrontRunFighter

· 15jam yang lalu

keracunan rantai pasokan di tingkat terbaik... mereka bahkan tidak perlu menembus benteng, cukup berjalan melewati pintu depan dengan mengenakan lencana perusahaan. PostHog terlihat sangat mencurigakan sekarang ngl

Lihat AsliBalas0

gas_fee_therapist

· 16jam yang lalu

Saya sudah bilang hal seperti ini pasti akan terjadi suatu saat, trust wallet sebesar ini saja bisa diretas, kita masih berani percaya siapa? Operasi menyuntikkan virus melalui saluran resmi benar-benar luar biasa, sulit dicegah. 700 juta dolar hilang begitu saja, itu baru disebut rug pull yang sesungguhnya. Tidak perlu diperbarui menjadi tren baru, begitu melihat versi resmi saya harus berpikir lebih keras. Metode backdoor PostHog ini harus saya ingat, sangat detail. Seharusnya sejak lama sudah mendistribusikan dompet, menaruh semua telur dalam satu keranjang memang pantas. Kalau menurut saya, ini karena ekosistem yang belum matang, harus mengandalkan perlindungan diri sendiri. Jika mnemonic phrase dicuri, bagaimana lagi yang bisa diselamatkan, hanya bisa pasrah saja. Rantai pasokan yang terhambat, di crypto juga tidak terhindarkan. Sepertinya tidak ada yang benar-benar aman, hanya bisa dikatakan siapa yang biaya intrusi-nya lebih tinggi.

Lihat AsliBalas0

SchrodingersFOMO

· 2025-12-29 15:50

Saya tidak di sini kita tidak bisa percaya apa-apa kan, bahkan resmi pun bisa diretas, ini jadi masalah Koefisien anjing naik lagi Sialan, teknik ini luar biasa, lubang PostHog benar-benar dalam, lain kali tidak berani klik apa-apa Ini benar-benar membuat saya terkejut, lebih dari 6 juta dolar AS hilang begitu saja, apa lagi yang bisa dimainkan Saluran resmi pun telah direbut, siapa lagi yang bisa kita percaya Luka dari rantai pasokan ini terlalu kejam, tidak bisa dicegah Perampokan saat Natal, hacker ini benar-benar sangat paham Sudah bilang jangan terlalu percaya dompet, sekarang jadi kenyataan Kasus pencurian frase pemulihan, membayangkannya saja sudah menakutkan Harus repot-repot ganti dompet lagi, benar-benar menyebalkan

Lihat AsliBalas0

GrayscaleArbitrageur

· 2025-12-29 15:41

Sial, saluran resmi tidak percaya, ini masih permainan Tunggu, pintu belakang PostHog sangat buruk, saya harus memeriksa nomor versi saya Jangan bilang saya juga ditipu, saya memang memperbaruinya selama hari-hari Natal... Ini keterlaluan, kepercayaan seperti itu, dan itu akan digunakan di beberapa rantai di masa depan Peretas ini benar-benar bekerja keras, disergap selama dua minggu sebelum melakukannya, dan profesionalismenya sangat baik

Lihat AsliBalas0

StakeOrRegret

· 2025-12-29 15:37

Sial, 6 juta sampai 7 juta hilang begitu saja, hadiah Natal berubah menjadi perampokan Natal Sekali lagi terjadi sabotase rantai pasokan, aku bahkan mengira versi resmi adalah benteng Backdoor PostHog itu benar-benar gila, sangat kejam Kali ini harus belajar dari pengalaman, dompet dingin adalah yang sebenarnya

Lihat AsliBalas0

RadioShackKnight

· 2025-12-29 15:24

600 hingga 700 juta dolar hilang begitu saja, tetap mulai dari versi resmi, gila metode ini benar-benar luar biasa --- Saluran resmi pun tidak bisa dijaga, lalu apa lagi yang diharapkan --- Trik backdoor PostHog ini harus saya ingat, hacker ini benar-benar kejam --- Penculikan dana saat Natal... penulis skenario pun tidak berani menulis seperti ini --- Dua minggu bersembunyi baru bertindak, kesabaran ini lebih kuat dari saya menyimpan koin --- Ratusan orang kehilangan dana, ZachXBT pun sudah menangkap, lalu apa lagi yang bisa dilakukan --- Kata kunci seperti ini hilang begitu saja, meskipun ada enkripsi berlapis-lapis tetap sia-sia --- Pihak resmi malah menjadi alat serangan terbesar, sangat ironis --- Rantai pasokan ini benar-benar titik lemah Web3, tidak peduli seberapa keras dicegah --- Ngomong-ngomong, apakah versi v2.68.0 ini masih ada yang menjalankan?

Lihat AsliBalas0