Trust Wallet ออกมายอมรับว่าระบบการอัปเดต Extension บน Chrome ซึ่งถูกปล่อยออกมาเมื่อวันที่ 24 ธันวาคมที่ผ่านมาถูกโจมตี ส่งผลให้ Cryptocurrency มูลค่า 7 ล้านดอลลาร์ถูกขโมยออกไป หลังจากผู้ใช้งานหลายรายรายงานว่าเงินใน Wallet ถูกโอนออกจนหมด
Changpeng "CZ" Zhao ผู้ก่อตั้ง Binance โพสต์ข้อความบน X ระบุว่า "จนถึงขณะนี้ มีจำนวนเงินที่ได้รับผลกระทบจากการโจมตีในครั้งนี้ 7 ล้านดอลลาร์ ทาง Trust Wallet จะเป็นผู้รับผิดชอบชดเชยให้ เงินของผู้ใช้ยังคงปลอดภัย ขอขอบคุณสำหรับความเข้าใจในความไม่สะดวกที่เกิดขึ้น"
"ทีมงานยังคงอยู่ในระหว่างการสืบสวนว่าแฮ็กเกอร์สามารถเปลี่ยนแปลง Extension ได้อย่างไร"
ในขณะเดียวกัน BleepingComputer สังเกตพบว่ามีผู้ไม่หวังดีสร้างโดเมน Phishing ที่อ้างว่าจะช่วยแก้ไขช่องโหว่แบบหลอก ๆ แต่กลับกลายเป็นการขโมยเงินจาก Wallet ของเหยื่อซ้ำเติมเข้าไปอีก
เงินใน Wallet ถูกขโมยจนเกลี้ยงหลังจากการอัปเดต Extension ในคืน Christmas Eve
เมื่อวันที่ 24 ธันวาคม ผู้ใช้งาน Cryptocurrency จำนวนมากเริ่มรายงานผ่านโซเชียลมีเดียว่า เงินใน Wallet ของพวกเขาถูกโอนออกไปจนหมดหลังจากใช้งาน Extension ของ Trust Wallet บนเบราว์เซอร์ Chrome ได้เพียงไม่นาน โดยขณะนี้ได้รับการยืนยันแล้วว่า มี Crypto ถูกขโมยไปอย่างน้อย 7 ล้านดอลลาร์จากการโจมตีในรูปแบบ Supply Chain Attack ในครั้งนี้
Trust Wallet เป็น Cryptocurrency wallet แบบ Non-custodial ที่ได้รับความนิยมอย่างแพร่หลาย ซึ่งช่วยให้ผู้ใช้งานสามารถจัดเก็บ, บริหารจัดการ และทำธุรกรรมสินทรัพย์ดิจิทัลบนเครือข่าย blockchain ที่หลากหลายได้ โดย Wallet นี้มีให้บริการทั้งในรูปแบบแอปพลิเคชันบนมือถือ และ Extension บนเบราว์เซอร์ Chrome สำหรับใช้เชื่อมต่อกับแอปพลิเคชันแบบ Decentralize (dApps)
ผู้ใช้งานรายหนึ่งได้โพสต์ข้อความดังกล่าวไว้ก่อนหน้านี้ พร้อมกับแชร์โพสต์จากบุคคลอื่น ๆ ที่อ้างว่าเป็นผู้เสียหายจากการอัปเดต Extension ในครั้งนี้ โดยระบุว่า "มีผู้คนจำนวนมากขึ้นเรื่อย ๆ ที่ออกมาร้องเรียนเรื่องเงินหายไปจาก Extension ของเบราว์เซอร์ทันที หลังจากการกดยืนยันสิทธิ์เพียงง่าย ๆ... มูลค่าความเสียหายทะลุ 2 ล้านดอลลาร์ไปแล้วหรือ?"
Akinator นักวิเคราะห์ด้านความปลอดภัย ได้ออกมาแจ้งเตือนให้ทุกคน งดใช้งาน Extension ของ Trust Wallet บน Chrome ในช่วงเวลานี้
ทาง BleepingComputer ยืนยันว่า Trust Wallet ได้ปล่อย Extension บน Chrome เวอร์ชัน 2.68.0 ออกมาเมื่อวันที่ 24 ธันวาคม ซึ่งเป็นช่วงเวลาก่อนหน้าที่จะเริ่มมีรายงานเหตุการณ์เงินใน Wallet ถูกขโมยเพียงเล็กน้อย
ในขณะที่ข้อร้องเรียน และคำเตือนต่าง ๆ เริ่มทวีความรุนแรงขึ้นบนโลกออนไลน์ ทาง BleepingComputer ได้ติดต่อไปยัง Trust Wallet เพื่อขอคำชี้แจง และยืนยันเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่อาจเกิดขึ้น แม้ว่าจะยังไม่ได้รับคำตอบ แต่ทีมงานสังเกตพบว่ามีการปล่อย Extension ของ Trust Wallet เวอร์ชัน 2.69 ออกมาอย่างเงียบ ๆ บน Chrome Web Store ในเวลาต่อมา
พบโดเมนต้องสงสัยในเวอร์ชันที่ถูกโจมตี
ภายในเวลาไม่กี่ชั่วโมงหลังจากเกิดเหตุการณ์ นักวิจัยด้านความปลอดภัยได้ตรวจพบโค้ดที่น่าสงสัยปะปนอยู่ใน Extension ของ Trust Wallet บน Chrome เวอร์ชัน 2.68.0
อ้างอิงจากข้อมูลของ Akinator พบว่า logic การทำงานที่น่าสงสัยนี้ปรากฏอยู่ในไฟล์ JavaScript ที่ชื่อว่า 4482.js ซึ่งภายในประกอบด้วยโค้ดที่ถูกเขียนมาอย่างซับซ้อน และดูเหมือนว่าจะมีเจตนาในการลักลอบดึงข้อมูลสำคัญของ Wallet ส่งไปยังเซิร์ฟเวอร์ภายนอกที่มี Host อยู่ที่ api.metrics-trustwallet[.]com
นักวิเคราะห์รายนี้อธิบายว่า "ภายในไฟล์โค้ด 4482.js ของ Extension Trust Wallet บนเบราว์เซอร์นั้น การอัปเดตล่าสุดได้มีการแอบฝังโค้ดที่ซ่อนอยู่ ซึ่งทำหน้าที่ลักลอบส่งข้อมูลของ Wallet ออกไปสู่ภายนอกอย่างเงียบ ๆ"
"มันถูกซ่อนตัวว่าเป็นเครื่องมือวิเคราะห์ข้อมูล แต่แท้จริงแล้วกลับคอยติดตามกิจกรรมของ Wallet และจะเริ่มทำงานทันทีที่มีการนำเข้า Seed Phrase ข้อมูลเหล่านี้จะถูกส่งไปยัง metrics-trustwallet[.]com ซึ่งเป็นโดเมนที่เพิ่งจดทะเบียนได้เพียงไม่กี่วัน และขณะนี้ได้ปิดตัวลงแล้ว"
การตรวจพบ Endpoint ข้อมูล "Metrics" ภายนอกที่เพิ่งจดทะเบียนใหม่ ปะปนอยู่ภายใน Wallet extension บนเบราว์เซอร์นั้น ถือเป็นเรื่องที่ผิดปกติอย่างยิ่ง เนื่องจาก Extension เหล่านี้มีสิทธิ์การเข้าถึงระดับสูงในการสั่งการทำงานของ Wallet และเข้าถึงข้อมูลที่สำคัญ
Andrew Mohawk นักวิจัยด้านความปลอดภัย ซึ่งในตอนแรกยังตั้งข้อกังขาต่อประเด็นนี้ ท้ายที่สุดก็ได้ออกมายืนยันว่า Endpoint ดังกล่าวมีความเกี่ยวข้องกับกระบวนการลักลอบขโมยข้อมูล Secret จริง
บันทึกข้อมูล WHOIS ที่เปิดเผยต่อสาธารณะแสดงให้เห็นว่า โดเมนหลัก metrics-trustwallet[.]com เพิ่งถูกจดทะเบียนเพียงไม่กี่วันก่อนเกิดเหตุการณ์ และขณะนี้ยังไม่มีการยืนยันต่อสาธารณะว่าโดเมนดังกล่าวมี Trust Wallet เป็นเจ้าของ หรือเป็นผู้ดำเนินการอย่างถูกต้องตามกฎหมายแต่อย่างใด
Trust Wallet ออกมายอมรับต่อเหตุการณ์ด้านความปลอดภัย
เมื่อวันที่ 25 ธันวาคมที่ผ่านมานี้ Trust Wallet ได้ออกมายอมรับว่าเกิดเหตุการณ์ด้านความปลอดภัย ที่ส่งผลกระทบต่อ Extension บน Chrome เวอร์ชัน 2.68.0 พร้อมทั้งแนะนำให้ผู้ใช้รีบทำการอัปเดตเป็นเวอร์ชัน 2.69 ทันทีเพื่อแก้ไขปัญหาดังกล่าว
อย่างไรก็ตาม จนถึงขณะนี้ Trust Wallet ยังไม่ได้ตอบกลับคำถามของ BleepingComputer เกี่ยวกับรายละเอียดของเหตุการณ์ ซึ่งรวมถึงประเด็นที่ว่ามีผู้ได้รับผลกระทบจำนวนกี่ราย และยอดรวมมูลค่าความเสียหายของ Cryptocurrency ที่ถูกขโมยไปนั้นสูงเพียงใด
ผู้โจมตีได้ปล่อยแคมเปญ Phishing ซ้ำเติมในช่วงเวลาเดียวกัน
ในขณะที่ผู้ใช้งานกำลังวุ่นวายสับสนเพื่อค้นหาข้อมูล และคำแนะนำในการแก้ไข ทาง BleepingComputer ได้สังเกตพบแคมเปญ Phishing อีกระลอกที่เกิดขึ้นคู่ขนานกัน โดยฉวยโอกาสซ้ำเติมจากสถานการณ์ความตื่นตระหนกที่กำลังดำเนินอยู่
บัญชีผู้ใช้บน X (Twitter) หลายบัญชี ได้ชักนำผู้ใช้ที่กำลังมีความกังวลใจไปยังโดเมนที่น่าสงสัยที่ชื่อว่า fix-trustwallet[.]com
เว็บไซต์ดังกล่าวได้ลอกเลียนแบบสัญลักษณ์แบรนด์ของ Trust Wallet ไว้อย่างแนบเนียน และอ้างว่าจะช่วยแก้ไขช่องโหว่ด้านความปลอดภัยใน Trust Wallet ให้ แต่ทว่า หลังจากที่คลิกปุ่ม "Update" ผู้ใช้กลับพบหน้าต่าง Pop-up ที่หลอกล่อให้กรอก Seed Phrase ของ Wallet ซึ่งทำหน้าที่เปรียบเสมือน Master Key ที่มอบสิทธิ์ในการควบคุม Wallet ทั้งหมดให้แก่คนร้าย
การป้อน Seed Phrase ลงในเว็บไซต์ดังกล่าว จะเป็นการเปิดทางให้ผู้โจมตีสามารถขโมยเงินทั้งหมดที่อยู่ในกระเป๋าออกไปได้ในทันที
ข้อมูลจาก WHOIS ชี้ให้เห็นว่าโดเมน fix-trustwallet[.]com ถูกจดทะเบียนเมื่อช่วงต้นเดือนที่ผ่านมา โดยผ่านผู้ให้บริการจดทะเบียนโดเมนรายเดียวกับ metrics-trustwallet[.]com ซึ่งแสดงให้เห็นว่าโดเมนทั้งสองนี้น่าจะมีความเชื่อมโยงกัน และมีความเป็นไปได้สูงที่จะถูกดำเนินการโดยผู้ไม่หวังดีรายเดียวกัน หรือกลุ่มเดียวกันกับที่อยู่เบื้องหลังการโจมตีครั้งนี้
สิ่งที่ผู้ใช้งานควรทำ
Trust Wallet แนะนำให้ผู้ใช้งาน Extension บน Chrome ตรวจสอบให้แน่ใจว่ากำลังใช้งานเวอร์ชัน 2.69 ซึ่งเป็นเวอร์ชันล่าสุดที่ได้รับการแก้ไขแล้ว โดยทางบริษัทระบุว่าเหตุการณ์นี้ส่งผลกระทบเฉพาะ Extension บน Chrome เวอร์ชัน 2.68.0 เท่านั้น ส่วนผู้ที่ใช้งานผ่านแอปพลิเคชันบนมือถือเพียงอย่างเดียว รวมถึง Extension บนเบราว์เซอร์อื่น ๆ ไม่ได้รับผลกระทบแต่อย่างใด
Trust Wallet ระบุเพิ่มเติมใน thread เดียวกันบน X "สำหรับผู้ใช้ที่ยังไม่ได้ทำการอัปเดต Extension ให้เป็นเวอร์ชัน 2.69 กรุณา อย่าเปิดใช้งาน Extension บนเบราว์เซอร์จนกว่าท่านจะทำการอัปเดตเสร็จสิ้น ทั้งนี้เพื่อความปลอดภัยของ Wallet ของท่าน และป้องกันปัญหาอื่น ๆ ที่อาจตามมา"
โปรดดำเนินการตามคำแนะนำทีละขั้นตอนต่อไปนี้โดยเร็วที่สุด
ขั้นตอนที่ 1: ห้าม เปิด Extension ของ Trust Wallet บนเบราว์เซอร์ในคอมพิวเตอร์ของคุณเด็ดขาด เพื่อความปลอดภัยของ Wallet และป้องกันไม่ให้เกิดปัญหาลุกลาม
ขั้นตอนที่ 2: เข้าไปที่หน้าจัดการ Extension ของ Chrome โดยคัดลอก link ต่อไปนี้ไปวางในช่อง address line (นี่คือทางลัดไปยัง Extension ของ Trust Wallet อย่างเป็นทางการ): chrome://extensions/?id=egjidjbpglichdcondbcbdnbeeppgdph
ขั้นตอนที่ 3: เลื่อนปุ่มสวิตช์ปิดการทำงานให้เป็น "Off" ตรงบริเวณ Extension ของ Trust Wallet หากสถานะยังเป็น "On" อยู่
ขั้นตอนที่ 4: คลิกเปิดโหมดนักพัฒนา หรือ "Developer mode" ที่มุมบนขวาของหน้าจอ
ขั้นตอนที่ 5: กดปุ่ม "Update" ที่บริเวณมุมบนซ้าย
ขั้นตอนที่ 6: ตรวจสอบหมายเลขเวอร์ชันให้เป็น 2.69 ซึ่งเป็นเวอร์ชันล่าสุดที่มีความปลอดภัยแล้ว
Trust Wallet ระบุว่า "ขอให้ผู้ที่มีข้อสงสัยเพิ่มเติมติดต่อเข้ามาได้ที่: https://twtholders.trustwallet.com และทีมบริการลูกค้าของบริษัทได้เริ่มติดต่อกับผู้ใช้งานที่ได้รับผลกระทบเพื่อแจ้งถึงขั้นตอนต่อไปแล้ว"
ทาง Trust Wallet ขอแจ้งเตือนผู้ใช้งานที่เชื่อว่า Wallet ของตนอาจถูกโจมตี ให้รีบดำเนินการย้ายสินทรัพย์ที่เหลืออยู่ไปยัง Wallet ใหม่ที่สร้างขึ้นด้วย Seed Phrase ชุดใหม่ในทันที และขอให้ถือว่า Seed Phrase ชุดเดิมที่เคยถูกเปิดเผยไปแล้วนั้น ไม่มีความปลอดภัยอีกต่อไป
ที่มา : bleepingcomputer
You must be logged in to post a comment.