ทรัสต์วอลเล็ต(Trust Wallet) ถูกแฮ็ก สูญกว่า 7 ล้านดอลลาร์จากช่องโหว่โปรแกรมเสริมบน Chrome

ทรัสต์วอลเล็ตถูกแฮ็ก ผู้ไม่หวังดีเจาะช่องโหว่ในโปรแกรมเสริมของเบราว์เซอร์ขโมยเงินไปกว่า 7 ล้านดอลลาร์

เกิดเหตุการแฮ็กครั้งใหญ่ในบริการกระเป๋าคริปโต ‘ทรัสต์วอลเล็ต(Trust Wallet)’ ส่งผลให้ผู้ใช้งานสูญเสียเงินรวมกว่า 7 ล้านดอลลาร์ หรือประมาณ 101.1 ล้านบาท โดยจุดอ่อนมาจากเวอร์ชันของโปรแกรมเสริมบนเว็บเบราว์เซอร์ที่ถูกฝังโค้ดอันตราย แฮ็กเกอร์สามารถดึง ‘วลีฟื้นกระเป๋า’ ของผู้ใช้และโอนคริปโตออกจากกระเป๋าได้ทันที ซึ่งทางบริษัทได้ออกมายืนยันความเสียหายและรับปากชดใช้ความเสียหายทั้งหมดแก่ผู้ใช้

ปัญหานี้เกิดจาก ‘เวอร์ชัน 2.68’ ของโปรแกรมเสริมใน Google Chrome ซึ่งถูกฝังรหัสประสงค์ร้ายไว้โดยตรงในขั้นตอนพัฒนา ผู้ใช้งานที่ติดตั้งเวอร์ชันดังกล่าวจึงตกอยู่ในความเสี่ยง และถูกขโมย ‘วลีเมนโมนิก (Mnemonic Phrase)’ ที่ใช้กู้คืนกระเป๋าได้ โดยทรัสต์วอลเล็ตแนะนำให้ผู้ใช้หยุดใช้งานทันที และอัปเดตเป็น ‘เวอร์ชัน 2.69’ ที่มีการแก้ไขช่องโหว่เรียบร้อย ทั้งนี้ แอปมือถือและเวอร์ชันอื่นๆ ไม่ได้รับผลกระทบแต่อย่างใด

เหตุการณ์ถูกเปิดเผยโดยแซ็กเอ็กซ์บีที(ZachXBT) นักวิเคราะห์ด้านความปลอดภัยบนบล็อกเชนที่แชร์เคสของผู้เสียหายหลายรายผ่าน Telegram เขาย้ำว่า มีการถอนสินทรัพย์จากกระเป๋าหลายร้อยรายการภายในเวลาไม่กี่ชั่วโมงหลังจากการอัปเดต ซึ่งต่อมาทรัสต์วอลเล็ตได้ออกมายืนยันข้อมูลดังกล่าว

บริษัท SlowMist ผู้เชี่ยวชาญด้านความปลอดภัยบล็อกเชนระบุว่า วิธีการโจมตีในครั้งนี้คือ ‘การโจมตีซัพพลายเชน (Supply Chain Attack)’ โดยโค้ดที่ถูกแฮ็กแอบร้องขอวลีเมนโมนิกจากกระเป๋าทั้งหมด และส่งต่อข้อมูลกลับไปยังเซิร์ฟเวอร์ที่ควบคุมโดยแฮ็กเกอร์ ทั้งยังพรางตัวว่ามีจุดประสงค์เพื่อการวิเคราะห์ข้อมูลเชิงลึก

ที่น่าสนใจคือ ปัญหาด้านความปลอดภัยลักษณะนี้เคยถูกรายงานมาก่อน โดยในปี 2023 ชารล์ กีเยอเม(Charles Guillemet) CTO ของบริษัทกระเป๋าฮาร์ดแวร์ เลเจอร์(Ledger) เคยระบุว่า พบช่องโหว่ร้ายแรงในโปรแกรมเสริม Chrome ของทรัสต์วอลเล็ต แต่ครั้งนั้นสามารถหลีกเลี่ยงความเสียหายได้ ส่วนกรณีล่าสุดนี้ ส่งผลให้ทรัพย์สินของผู้ใช้สูญหายไปจริง

ทางด้านฉางเผิง จ้าว (Changpeng Zhao) ผู้ก่อตั้งไบแนนซ์ ซึ่งเป็นบริษัทแม่ของทรัสต์วอลเล็ต ได้ออกมาโพสต์ผ่าน X ระบุว่า “ความเสียหายรวมโดยประมาณอยู่ที่ 7 ล้านดอลลาร์ และทรัสต์วอลเล็ตจะคืนเงินให้ผู้ใช้งานเต็มจำนวน” พร้อมย้ำว่า “ทรัพย์สินของผู้ใช้อยู่ภายใต้การปกป้องอย่างปลอดภัย (SAFU)”

ทรัสต์วอลเล็ตถือเป็นกระเป๋าคริปโตแบบ ‘Self-custody’ หรือให้ผู้ใช้เก็บรักษาคีย์ด้วยตัวเอง โดยถูกไบแนนซ์เข้าซื้อในปี 2018 และกลายเป็นหนึ่งในกระเป๋าที่ได้รับความนิยมสูงสุด โดยเฉพาะในรูปแบบโปรแกรมเสริมของ Chrome แต่กรณีที่เกิดขึ้นในครั้งนี้ได้สะท้อนให้เห็นว่า ‘เครื่องมือที่ใช้งานง่าย อาจเป็นช่องโหว่ร้ายแรงหากไม่มีการตรวจสอบความปลอดภัยอย่างเข้มงวด’

‘ความคิดเห็น’: เหตุดังกล่าวมาพร้อมบทเรียนสำคัญสำหรับผู้ใช้ทุกคน โดยเฉพาะผู้ที่เลือกใช้บริการกระเป๋าในรูปแบบโปรแกรมเสริมแบบเบราว์เซอร์ คำแนะนำคือ ควรหมั่นอัปเดตซอฟต์แวร์ ตรวจสอบความน่าเชื่อถือของเวอร์ชัน และอาจพิจารณาใช้ ‘กระเป๋าฮาร์ดแวร์’ ควบคู่สำหรับกระจายความเสี่ยงในการเก็บสินทรัพย์คริปโต

‘คำสำคัญ’: ความปลอดภัยของกระเป๋าคริปโต, การโจมตีซัพพลายเชน, วลีเมนโมนิก, ทรัสต์วอลเล็ต, การอัปเดตโปรแกรมเสริม