#链上资产管理 Serangan backdoor Trust Wallet kali ini benar-benar gelap—langsung mengincar tingkat kode sumber, mencuri lebih dari 6 juta dolar selama periode Natal. Setelah membaca analisis teknis Slowmist, baru tersadari bahwa ini bukan semacam polusi rantai pasokan atau paket npm berbahaya, melainkan operasi tingkat APT yang nyata. Penyerang sudah mendapatkan izin pengembang sejak dulu, menyisipkan logika pencurian mnemonik di versi 2.68, dan dengan cerdas menggunakan PostHog untuk menutupi kebocoran data.

Jujur saja, hal ini memberikan pelajaran yang menyakitkan bagi manajemen aset on-chain—bahkan dompet papan atas pun tidak bisa menahan orang dalam (insider). Di pihak saya, teman-teman yang terlibat strategi copy trading dengan interaksi multi-chain sudah mulai meninjau ulang eksposur risiko. Pendekatan yang lebih aman adalah: simpan aset inti di cold wallet, letakkan hanya jumlah operasional di hot wallet, dan lakukan rotasi dan verifikasi penyedia dompet secara berkala. Jika Anda memiliki beberapa akun copy trading yang mengelola dana menggunakan Trust Wallet, disarankan untuk melakukan pemeriksaan offline sekarang juga, ekspor kunci privat ke dompet yang aman, jangan tunggu lagi.

Peristiwa black swan seperti ini mengingatkan kita bahwa setiap langkah operasi on-chain harus melacak risiko hingga ke akarnya. Tidak ada alat yang benar-benar aman, hanya pilihan rasional setelah sepenuhnya memahami risiko.