2025-12-26 18:25:18

Trust Wallet浏览器扩展 baru-baru ini mengalami sebuah insiden keamanan yang cukup menyentuh hati—pihak resmi merilis pengumuman darurat terkait versi 2.68, menyarankan pengguna untuk segera menonaktifkan dan memperbarui ke versi 2.69. Keanehan dari masalah ini adalah banyak orang sama sekali tidak melakukan upgrade secara aktif.

Kondisinya seperti ini: jika Anda menginstal versi 2.67, lalu me-restart browser Chrome, plugin akan otomatis naik ke versi 2.68. Begitu melakukan operasi penandatanganan apa pun, seed phrase Anda berpotensi bocor. Ini bukanlah crack yang rumit, melainkan jebakan yang tersembunyi dalam proses pembaruan.

Bagian yang menyebalkan adalah—"Peningkatan keamanan" seharusnya menjadi lawan risiko, tetapi malah menjadi pintu masuk risiko. Dompet yang diretas bukan karena algoritma yang diretas, atau karena serangan brute-force, melainkan karena ada kekacauan selama proses iterasi perangkat lunak. Anda menggunakan dompet secara normal, melakukan penandatanganan transaksi secara wajar, data sensitif yang seharusnya tidak pernah muncul di mana pun justru terekspos langsung ke penyerang—seperti seed, seed phrase, dan bahan terkait kunci derivasi, semuanya berpotensi bocor.

Insiden ini benar-benar patut diwaspadai. Bagi pengguna Web3, setiap iterasi versi dompet membutuhkan kewaspadaan ekstra.

Lihat Asli

Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.

14 Suka

Hadiah
14
6
Posting ulang
Bagikan

Komentar

0/400

SatoshiLeftOnRead

· 16jam yang lalu

Ini benar-benar tidak masuk akal, naik level malah diserang Peningkatan keamanan berubah menjadi celah keamanan, luar biasa Benarkah saya harus menghapus Trust Wallet? Saya kira hanya bug kecil, tidak menyangka langsung telanjang Di zaman ini, bahkan dompet pun tidak bisa dipercaya Mengupdate jalur menimbulkan lubang... caranya cukup profesional ya Apakah frase pengingat bisa bocor? Ini bukan main-main ya Tidak heran akhir-akhir ini di grup banyak yang mengeluh tentang Trust Peningkatan itu sendiri menjadi celah risiko terbesar Sepertinya harus mengontrol versi secara manual, pembaruan otomatis terlalu menjijikkan Harus segera cek versi apa yang terpasang

Lihat AsliBalas0

RektRecovery

· 12-26 18:55

lmao jadi "pembaruan keamanan" selama ini adalah eksploit... momen web3 klasik. pembaruan otomatis ke dalam honeypot? itu bukan bug, itu hanya darwinisme dengan langkah tambahan.

Lihat AsliBalas0

FOMOrektGuy

· 12-26 18:55

Ini benar-benar lucu, pembaruan keamanan malah menjadi pintu belakang, tidak masuk akal

Lihat AsliBalas0

Layer2Observer

· 12-26 18:40

Otomatis upgrade desain ini benar-benar gila, sama sekali tidak dipikirkan matang-matang --- Dari analisis tingkat kode sumber, celah semacam ini sebenarnya adalah manajemen izin yang tidak dilakukan dengan baik, sangat dasar --- Tunggu, seed phrase langsung terbuka di memori? Bukankah ini melanggar standar pengelolaan kunci dasar? --- Sejujurnya, mekanisme pembaruan seharusnya memiliki jendela konfirmasi, perusahaan besar seperti ini malah secara default memaksa pembaruan --- Rasa aman dompet Web3 mungkin memang perlu diulas ulang sepenuhnya --- Versi 2.68 ini masih berjalan di lingkungan produksi? Apakah ada data dari pihak resmi? --- Sebaliknya, kenapa masalah seperti ini tidak ditemukan saat tahap pengujian... apa yang terjadi dengan proses review kode? --- Aduh, kepercayaan memang rapuh, sekarang malah makin menyakitkan --- Perlu diklarifikasi, apakah ini berarti satu operasi tanda tangan bisa mengungkap semua seed phrase, atau hanya risiko yang terbuka? Perlu verifikasi lebih lanjut --- Iterasi dompet seharusnya memperkuat kepercayaan, malah menjadi peluang untuk merusaknya, benar-benar layak untuk ditinjau ulang

Lihat AsliBalas0

DisillusiionOracle

· 12-26 18:31

Aduh, pembaruan otomatis menimbulkan masalah? Ini jauh lebih gila daripada diserang --- Kepercayaan langsung nol, pembaruan menjadi tiket masuk pintu belakang --- Sungguh gila, hanya dengan menandatangani transaksi, mnemonic hilang, siapa yang akan menyangka --- Ini lagi-lagi disebabkan oleh pembaruan otomatis, sekarang saya melihat peringatan browser saja ingin menghapusnya --- Trust Wallet? Lebih tepat disebut Trust Trap ya --- Jadi sekarang bahkan pembaruan harus dilakukan dengan sangat hati-hati seperti melawan pencuri --- Seberapa buruk proses iterasi mereka sehingga mnemonic bisa bocor --- Pengkhianatan paling menyakitkan berasal dari alat yang kamu percayai --- Mnemonic langsung terungkap saat penandatanganan? Tim keamanan mana? --- Jalur pembaruan yang menimbulkan masalah, benar-benar secara aktif membuka pintu belakang bagi peretas --- Lebih baik simpan sendiri di cold wallet, ekstensi browser ini benar-benar

Lihat AsliBalas0

DancingCandles

· 12-26 18:28

Ternyata upgrade malah seperti menggali lubang, betapa anehnya itu Hal seperti dompet harus diawasi dengan ketat, tidak boleh sembarangan Kata kunci pemulihan langsung bocor begitu saja, operasi ini benar-benar gila Upgrade otomatis paling berbahaya, lebih andal secara manual Update malah membuat diserang, web3 benar-benar menegangkan

Lihat AsliBalas0