Seguridad ng Crypto sa 2025: Trust Wallet Na-hack, Ledger Muling Nabunyag – Anong mga Solusyon ang Makakaprotekta sa Iyong mga Asset?

Dalawang malalaking insidente sa cybersecurity ang yumanig sa kumpiyansa ng mga user noong huling bahagi ng 2024: $7 milyon ang nanakaw sa pamamagitan ng isang na-kompromisong Chrome extension sa Trust Wallet, at isa pang pagtagas ng personal na datos sa Ledger. Habang dumarami ang mga pag-atake, ang industriya ay naghahanap ng radikal na magkaibang pamamaraan upang gawing mas ligtas ang ekosistema.

Trust Wallet: $7 Milyon ang Ninakaw sa Pamamagitan ng Malisyosong Extension

Noong Disyembre 24, 2025, isang update sa Chrome extension ng Trust Wallet (bersyon 2.68) ang nagbigay-daan sa mga umaatake na makakuha ng halos $7 milyon sa iba’t ibang blockchain. Ang insidente, unang isiniwalat ng on-chain investigator na si ZachXBT, ay nakaapekto sa daan-daang user na nag-import ng kanilang recovery phrases sa na-kompromisong extension.

Ayon sa pagsusuri ng PeckShield at SlowMist, ang malisyosong code ay palihim na nagpadala ng wallet data sa isang phishing domain (metrics-trustwallet.com), na inirehistro ilang araw bago ang pag-atake. Ang mga nakaw na pondo—humigit-kumulang $3 milyon sa Bitcoin at mahigit $3 milyon sa Ethereum—ay ipinadaan sa mga sentralisadong exchange (ChangeNOW, FixedFloat, KuCoin) para linisin.

Kumpirmado ni Eowyn Chen, CEO ng Trust Wallet, na ang malisyosong extension ay nailathala gamit ang isang na-kompromisong Chrome Web Store API key, na lampas sa mga panloob na proseso ng beripikasyon. Inanunsyo ni Changpeng Zhao, co-founder ng Binance (na siyang nagmamay-ari ng Trust Wallet), ang buong reimbursement para sa mga biktima habang nagmumungkahi ng posibleng sangkot na “nation-state actor” o insider.

Ledger: Isa na Namang Pagtagas ng Datos sa Pamamagitan ng Third-Party Partner

Noong unang bahagi ng Enero 2026, ipinaalam ng Ledger sa kanilang mga customer ang panibagong pagkalantad ng personal na datos kasunod ng paglabag sa Global-e, ang kanilang payment processor at e-commerce partner. Ang na-kompromisong impormasyon ay kinabibilangan ng pangalan, email address, at postal address ng ilang mamimili sa ledger.com.

Nilinaw ng Ledger na hindi naapektuhan ang kanilang internal systems, hardware, at software. Walang access ang Global-e sa recovery phrases (24 na salita), private keys, o balanse ng mga user. Gayunman, muling binuhay ng insidenteng ito ang mga pag-aalala: noong 2020, isang kahalintulad na paglabag ang naglantad ng datos ng mahigit 270,000 customer, na naging dahilan ng tuloy-tuloy na phishing campaigns at “wrench attacks” (targeted physical extortion).

Ayon sa isang internal na pag-aaral ng Ledger, ang mga social engineering attack ay tumaas ng 40% noong 2025 kumpara noong 2024, kung saan ginagamit na ngayon ng mga umaatake ang mga nakaw na personal na datos upang malampasan ang tradisyonal na mga pananggalang sa seguridad.

Ang Pangunahing Suliranin: Isang Mahinang Sentralisadong Arkitektura

Ang dalawang insidenteng ito, bagaman magkaiba ang katangian, ay may parehong punto: pag-asa sa single point of failure. Sa Trust Wallet, isang na-kompromisong API key lang ang sapat upang ma-inject ang malisyosong code. Sa Ledger, ang pagtitiwala sa isang panlabas na vendor ay naglantad ng datos ng customer.

Ayon sa ulat ng Chainalysis 2025, mahigit $3.4 bilyon ang nanakaw mula sa crypto ecosystem ngayong taon, na may matinding pagtaas ng mga atake na nakatuon sa mga indibidwal na user kaysa sa mga protocol. Pinagtitibay ng CertiK ang trend na ito: ang mga hacker ay lumalayo na sa smart contract vulnerabilities at ginagamit ang kahinaan ng tao at peripheral entry points.

Sa harap ng reyalidad na ito, ang industriya ng blockchain cybersecurity ay nagsusuri ng mga bagong pamamaraan upang mapagtagumpayan ang mga limitasyon ng tradisyunal na modelo.

Pangkalahatang-ideya ng mga Solusyon sa Cybersecurity ng Blockchain

Ilang pangunahing manlalaro ang nag-aalok ng magkakatugmang pamamaraan para sa seguridad ng Web3 ecosystem:

CertiK: Auditing bilang Pamantayan ng Industriya

Ang pandaigdigang lider sa smart contract auditing, CertiK ay nakalikom ng $296 milyon at nagpoprotekta ng mahigit $300 bilyon na asset para sa 3,200 kliyente. Ang Skynet platform nito ay nag-aalok ng real-time monitoring, habang ang mga formal verification tool ay tumutukoy ng mga kahinaan bago ang deployment. Limitasyon: nananatiling snapshot lang ang auditing na hindi sumasaklaw sa mga banta pagkatapos ng deployment o mga atake sa imprastraktura.

Hacken at Quantstamp: Audit at Sertipikasyon

Nag-aalok ang Hacken at Quantstamp ng kinikilalang mga serbisyo ng audit, may Proof-of-Reserves para sa mga exchange. Halimbawa, gumagamit ang Bybit EU ng Hacken audits para sa transparency. Limitasyon: tulad ng CertiK, hindi protektado ng mga audit na ito laban sa mga umuusbong na banta o real-time na kompromiso ng imprastraktura.

Naoris Protocol: Tungo sa Desentralisado at Post-Quantum na Cybersecurity

Isang radikal na ibang pamamaraan ang lumilitaw sa Naoris Protocol, na ginagawang security validation node ang bawat konektadong device. Itinatag noong 2018 ni David Carvalho, ang protocol ay gumagamit ng desentralisadong “Trust Mesh” kung saan ang mga device ay nag-a-audit sa isa’t isa sa real time, na inaalis ang single point of failure.

Hindi tulad ng point-in-time audit solutions, gumagana ang Naoris sa pamamagitan ng makabagong consensus mechanism na tinatawag na dPoSec (Decentralized Proof of Security), kung saan bawat node ay tuluy-tuloy na nagbe-beripika ng integridad ng iba. Isinama rin ng platform ang SWARM AI, isang distributed artificial intelligence na nagkokordina ng mga tugon sa banta at agad na nagkakalat ng mga update para sa depensa.

Ang higit na nagpapakilala sa Naoris ay ang post-quantum infrastructure nito. Habang ang kasalukuyang mga cryptographic algorithm (RSA, ECC) ay mahina laban sa mga quantum computer sa hinaharap, gumagamit ang Naoris ng mga pamantayang naaayon sa NIST, NATO NCIA, at ETSI (lalo na ang Dilithium-5) upang matiyak ang pangmatagalang katatagan. Noong Setyembre 2025, binanggit ang protocol sa isang U.S. SEC submission bilang reference model para sa quantum-resistant blockchain infrastructure.

Ipinapakita ng testnet na inilunsad noong Enero 2025 ang kahanga-hangang mga metrics: mahigit 100 milyong post-quantum na transaksyon ang naproseso, 3.3 milyong wallet, 1 milyong validator nodes, at 600 milyong banta ang na-neutralize. Nakalikom ang proyekto ng $31 milyon mula sa mga mamumuhunan kabilang sina Tim Draper at may mga tagapayo mula sa dating IBM, NATO, at White House.

Ano ang Kahulugan Nito para sa mga User

Sa kaso ng Trust Wallet, maaaring na-detect ng Trust Mesh architecture ang kakaibang kilos ng na-kompromisong extension (pagpapadala ng data sa panlabas na domain) bago pa man maubos ang pondo. Bawat device sa network ay maaaring kolektibong mag-ulat sa anomalya.

Para sa Ledger, ipinapakita ng pag-asa sa single vendor (Global-e) ang limitasyon ng sentralisadong modelo. Ang desentralisadong beripikasyon ng integridad ng third-party system ay makabawas sana ng attack surface at limitahan ang pagtagas ng datos.

Ang distributed na “zero-trust” na pilosopiya ay hindi lang nagsisiguro ng isang punto: ginagawa nitong matatag ang buong ekosistema. Maaaring gamitin ang pamamaraang ito hindi lamang sa mga wallet kundi pati na rin sa DeFi platforms, DAO, at mga kritikal na sistema ng pamamahala.

Paghahambing ng mga Paraan sa Cybersecurity

Ang distributed na “zero-trust” na pilosopiya ay hindi lang nagsisiguro ng isang punto: ginagawa nitong matatag ang buong ekosistema. Maaaring gamitin ang pamamaraang ito hindi lamang sa mga wallet kundi pati na rin sa DeFi platforms, DAO, at mga kritikal na sistema ng pamamahala.