Trust Wallet ยืนยันการแฮ็ก 7 ล้านดอลลาร์ผ่านส่วนขยายเบราว์เซอร์ที่ถูกเจาะ

Trust Wallet ยืนยันว่ามีคริปโทเคอร์เรนซีมูลค่าประมาณ 7 ล้านดอลลาร์ถูกขโมย stolen through a compromised browser extension update

การละเมิดนี้ affected เฉพาะส่วนขยาย Chrome เวอร์ชัน 2.68 ซึ่งถูก released เมื่อวันที่ 24 ธันวาคม

ตามข้อมูลของบริษัท ผู้ใช้กระเป๋าเงินบนมือถือไม่ได้รับผลกระทบ

Changpeng Zhao ผู้ก่อตั้ง Binance ซึ่งเป็นเจ้าของ Trust Wallet ระบุว่ากระเป๋าเงินจะชดเชยความเสียหายให้ผู้ใช้ทุกคนที่ได้รับผลกระทบ

“จนถึงตอนนี้ มีเงิน 7 ล้านดอลลาร์ได้รับผลกระทบจากแฮ็กครั้งนี้ Trust Wallet จะเป็นผู้รับผิดชอบ เงินของผู้ใช้ยัง SAFU” Zhao เขียนบน X

What Happened

นักสืบบล็อกเชน ZachXBT เป็นคนแรกที่แจ้งเตือนเหตุการณ์นี้เมื่อวันที่ 25 ธันวาคม หลังได้รับรายงานว่ามีการดูดเงินออกจากกระเป๋า Trust Wallet ของผู้ใช้อย่างรวดเร็ว

ความสูญเสียเกิดขึ้นภายในไม่กี่ชั่วโมงหลังจากอัปเดตส่วนขยาย บ่งชี้ถึงการโจมตีแบบซัพพลายเชน

บริษัทความปลอดภัย SlowMist วิเคราะห์โค้ดอันตรายและพบว่าโค้ดดังกล่าวถูกฝังเข้าไปใน ซอร์สโค้ดของ Trust Wallet โดยตรง ไม่ได้มาจากไลบรารีของบุคคลที่สามที่ถูกเจาะ

โค้ดประตูหลังนี้จะรวบรวม seed phrase ที่เข้ารหัสของผู้ใช้เมื่อปลดล็อกกระเป๋าเงิน จากนั้นจึง sent ข้อมูลไปยังโดเมนที่ผู้โจมตีควบคุม ซึ่งจดทะเบียนเมื่อวันที่ 8 ธันวาคม

การวิเคราะห์ของ SlowMist ชี้ให้เห็นว่าผู้โจมตีเริ่มเตรียมการอย่างน้อยสองสัปดาห์ ก่อนที่อัปเดตอันตรายจะถูกปล่อยออกมา

เงินที่ถูกขโมยประกอบด้วย Bitcoin, Ethereum และสินทรัพย์บนหลายบล็อกเชน

ผู้ใช้บางรายรายงานว่าขาดทุนเกิน 300,000 ดอลลาร์ภายในไม่กี่นาทีหลังจากเข้าใช้งานกระเป๋าเงิน

Trust Wallet รีบเรียกร้องให้ผู้ใช้ปิดการใช้งานเวอร์ชัน 2.68 ทันที และอัปเกรดเป็นเวอร์ชันที่แพตช์แล้ว 2.69 ผ่าน Chrome Web Store ทางการ

Read also: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst

Why It Matters

เหตุการณ์นี้สะท้อนให้เห็นถึงช่องโหว่ด้านความปลอดภัยที่ยังคงอยู่ในกระเป๋าเงินคริปโตบนเบราว์เซอร์ แม้อุตสาหกรรมจะพยายามเพิ่มมาตรการป้องกันอย่างต่อเนื่อง

แตกต่างจากการโจมตีที่มุ่งเป้าไปที่ผู้ใช้รายบุคคลผ่านฟิชชิง การโจมตีครั้งนี้แทรกซึมเข้าช่องทางเผยแพร่อย่างเป็นทางการของ Trust Wallet ทำให้ผู้ใช้ที่ปฏิบัติตามแนวทางความปลอดภัยอย่างถูกต้องก็ได้รับผลกระทบ

การโจมตีแบบซัพพลายเชนที่มุ่งเป้าโครงสร้างพื้นฐานคริปโตเพิ่มขึ้นอย่างรวดเร็วในปี 2024

บริษัทความปลอดภัยบล็อกเชน Chainalysis reported ว่าการขโมยคริปโตมีมูลค่าเกิน 3.41 พันล้านดอลลาร์ภายในต้นเดือนธันวาคม เมื่อเทียบกับ 3.38 พันล้านดอลลาร์ตลอดทั้งปี 2023

การละเมิดของ Trust Wallet ครั้งนี้ถือเป็นปัญหาด้านความปลอดภัยครั้งใหญ่ครั้งที่สอง สำหรับส่วนขยายเบราว์เซอร์ของกระเป๋าเงินนี้

ในปี 2023 ทีมรักษาความปลอดภัยของผู้ผลิตฮาร์ดแวร์วอลเล็ต Ledger พบช่องโหว่ร้ายแรงในส่วนขยาย Chrome ของ Trust Wallet ที่ลดความแข็งแรงด้านความปลอดภัยจาก 256 บิตเหลือเพียง 32 บิตของเอนโทรปี

Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Ledger ระบุว่าช่องโหว่ในปี 2023 อาจเปิดโอกาสให้ผู้โจมตีดูดเงินออกจากกระเป๋าได้ โดยไม่ต้องมีปฏิสัมพันธ์จากผู้ใช้เลย

ช่องโหว่นั้นถูกค้นพบและแก้ไขก่อนที่จะเกิดการโจมตีในวงกว้าง

เหตุการณ์ล่าสุดนี้ตอกย้ำว่าเหตุใดฮาร์ดแวร์วอลเล็ต ซึ่งเก็บกุญแจส่วนตัวแบบออฟไลน์ จึงยังคงเป็นตัวเลือกที่ปลอดภัยที่สุดสำหรับการถือครองคริปโตในปริมาณมาก

ส่วนขยายเบราว์เซอร์ต้องการสิทธิการเข้าถึงระบบจำนวนมาก และต้องพึ่งพาความปลอดภัยของทั้งโค้ดส่วนขยายและคอมพิวเตอร์ของผู้ใช้ ทำให้เกิดช่องทางการโจมตีที่เป็นไปได้หลายจุด

Read also: SHIB Price Defies 5,000% Long-Biased Liquidation Wave