Trust Wallet ถูกแฮก! สูญคริปโตกว่า 6 ล้านดอลลาร์จากช่องโหว่เบราว์เซอร์

กระเป๋าเงินดิจิทัลประเภทมัลติเชน ‘ทรัสต์ วอลเล็ต(Trust Wallet)’ ถูกแฮกผ่านช่องโหว่ของส่วนขยายเบราว์เซอร์ ซึ่งส่งผลให้สินทรัพย์ดิจิทัลรวมกว่า 6 ล้านดอลลาร์สหรัฐ ถูกขโมยไป รวมถึงคริปโตอย่าง บิตคอยน์(BTC), โซลานา(SOL) และ อีเธอเรียม(ETH) โดย Trust Wallet ได้ออกแถลงเมื่อวันที่ 25 ว่าช่องโหว่นี้เกิดขึ้นในเวอร์ชัน 2.68 เท่านั้น พร้อมแนะนำให้ผู้ใช้อัปเดตทันทีเป็นเวอร์ชัน 2.69 เพื่อความปลอดภัย

การตรวจสอบจุดอ่อนครั้งนี้เริ่มต้นจากการวิเคราะห์ของนักวิจัยความปลอดภัยบนบล็อกเชนชื่อ แซคเอ็กซ์บีที(ZachXBT) ที่พบว่ามีโค้ดอันตรายถูกฝังอยู่ในเวอร์ชันล่าสุดของส่วนขยาย สำหรับวิธีการโจมตี แฮกเกอร์สามารถขโมย ‘ซีดวลีย์’ ซึ่งเป็น *คำสำคัญ* ในการกู้คืนกระเป๋าเงิน หลังจากที่ผู้ใช้กรอกข้อมูล ข้อมูลทั้งหมดจะถูกส่งออกไปยังเครือข่ายโจมตีทันที ก่อให้เกิดความเสียหายเป็นวงกว้าง โดยเฉพาะในช่วงวันคริสต์มาส ซึ่งผู้ใช้งานจำนวนหนึ่งพบว่าสินทรัพย์ในกระเป๋าถูกดูดหมดในเวลาเพียงไม่กี่นาที

หนึ่งในผู้ใช้เปิดเผยว่า สูญเงินคริปโตมูลค่า 300,000 ดอลลาร์ไปภายในเวลา 4 นาที อย่างไรก็ตาม แซคเอ็กซ์บีที สังเกตว่ามีบางบัญชีที่รายงานตัวว่าเป็นเหยื่อ มีประวัติพฤติกรรมไม่น่าไว้วางใจ เช่น การมีชื่อเกี่ยวข้องกับเหรียญมีมและการหลอกลวงในอดีต โดยมีแนวโน้มว่าเป็นบัญชีปลอมที่แฝงตัวเข้ามาเพื่อหาประโยชน์จากเหตุการณ์ครั้งนี้

บริษัทวิเคราะห์ข้อมูลเชน อาร์คแฮม(Arkham) ระบุว่า แฮกเกอร์แบ่งทรัพย์สินออกเป็นหลายกระเป๋าและส่งผ่านหลายเครือข่ายเพื่อหลีกเลี่ยงการตรวจจับ ลักษณะการเคลื่อนย้ายทรัพย์สินเป็นวงกว้างเช่นนี้ ชี้ให้เห็นถึงความเป็นไปได้ที่มี *กลุ่มโจรกรรมแบบจัดตั้งเป็นองค์กร*

โดยทั่วไป เบราว์เซอร์ส่วนขยายมีสิทธิ์เข้าถึงข้อมูลอย่างเว็บไซต์, คุกกี้ และพื้นที่จัดเก็บ ซึ่งกลายเป็นช่องทางสำคัญที่ผู้ไม่หวังดีสามารถฝังโค้ดอันตรายเพื่อขโมยข้อมูลได้โดยไม่ถูกตรวจจับ เหตุการณ์นี้สะท้อนให้เห็นความ *เปราะบางของระบบรักษาความปลอดภัย* ที่ใช้กับกระเป๋าเงินแบบเบราว์เซอร์โดยตรง และไม่ใช่ครั้งแรกที่พบพฤติกรรมลักษณะนี้ เพราะเมื่อต้นปีที่ผ่านมา HackerNews ก็ได้รายงานถึงส่วนขยายกระเป๋าเงินปลอมกว่า 40 ตัวที่แอบขโมยรหัสผ่านและ IP Address ผู้ใช้งาน

ทางด้าน Trust Wallet ยืนยันว่า ผู้ใช้แอปมือถือ และเวอร์ชันอื่นที่ไม่ใช่ 2.68 *ไม่ได้รับผลกระทบจากเหตุการณ์นี้* ขณะนี้บริษัทเริ่มติดต่อเหยื่อโดยตรง เพื่อดำเนินการชดเชยและแก้ไขความเสียหาย พร้อมแนะนำให้ทุกคนที่ยังใช้เวอร์ชันเก่ารีบอัปเดตทันทีเพื่อความปลอดภัย

ความคิดเห็น: *เหตุการณ์การแฮกในครั้งนี้ไม่เพียงแต่สะเทือนความเชื่อมั่นของผู้ใช้งานเท่านั้น แต่ยังแสดงให้เห็นถึงความเสี่ยงด้านความปลอดภัยเชิงโครงสร้างของกระเป๋าเงินแบบ Extension* โดยเฉพาะในการใช้งานด้วยระบบ ‘Self-Custody’ หรือการดูแลสินทรัพย์ด้วยตัวเองที่จำเป็นต้องอาศัยการรักษาความปลอดภัยขั้นสูง ผู้ใช้งานจึงควรให้ความใส่ใจในการอนุญาตสิทธิ์การเข้าถึงของทุกแอปพลิเคชัน และควรมีมาตรการป้องกัน เช่น สำรองซีดวลีย์แบบออฟไลน์ และใช้งานกับฮาร์ดแวร์วอลเล็ตในกรณีที่มีการทำธุรกรรมขนาดใหญ่บ่อยครั้ง

*คำสำคัญ*: Trust Wallet, แฮกกระเป๋าคริปโต, ซีดวลีย์, ความปลอดภัยบนบล็อกเชน, บิตคอยน์(BTC), อีเธอเรียม(ETH), โซลานา(SOL)