ผู้ก่อตั้ง Trust Wallet และ CZ สัญญาคืนเงิน 7 ล้านดอลลาร์ที่สูญหายจากการถูกแฮกในวันคริสต์มาส

Trust Wallet ได้ให้คำมั่นว่าจะครอบคลุมเงินของลูกค้าประมาณ 7 ล้านดอลลาร์ที่สูญหายจากการโจมตีในวันคริสต์มาส ผู้ก่อตั้ง Changpeng Zhao ได้ยืนยันบนแพลตฟอร์มโซเชียล X การละเมิดที่เกิดขึ้นอย่างกะทันหันนี้ได้สร้างความตื่นตระหนกให้กับชุมชนคริปโตส่วนหนึ่ง อย่างไรก็ตาม การให้ความมั่นใจอย่างรวดเร็วของ Zhao มีเป้าหมายเพื่อสร้างความมั่นคงและฟื้นฟูความเชื่อมั่นในกระเป๋าเงินที่ผู้ใช้เก็บรักษาเองยอดนิยมนี้

เหตุการณ์เกิดขึ้นเมื่อวันที่ 25 ธันวาคม เมื่อเวอร์ชันที่ถูกบุกรุกของส่วนขยายเบราว์เซอร์ Trust Wallet ถูกใช้เพื่อดูดสินทรัพย์จากกระเป๋าเงินของผู้ใช้

การสืบสวนเบื้องต้นชี้ให้เห็นว่าโค้ดที่เป็นอันตรายนั้นทำงานอยู่ในเวอร์ชัน 2.68 ของส่วนขยาย ทำให้เกิดการโอนที่ไม่ได้รับอนุญาตข้ามหลายบล็อกเชน รวมถึง Ethereum, Bitcoin และ Solana ภายในไม่กี่ชั่วโมง ข้อมูลออนเชนแสดงให้เห็นว่าเงินทุนถูกดูดออกไปยังที่อยู่ที่ไม่รู้จัก โดยความสูญเสียเข้าใกล้ 7 ล้านดอลลาร์อย่างรวดเร็ว

ในโพสต์บน X เมื่อวันศุกร์ Zhao เน้นย้ำว่า "เงินทุนของผู้ใช้ SAFU" โดยใช้ตัวย่อยอดนิยมของอุตสาหกรรมคริปโตสำหรับ Secure Asset Fund for Users เขากล่าวว่า Trust Wallet จะคืนเงินให้กับผู้ใช้ที่ได้รับผลกระทบสำหรับความสูญเสียของพวกเขา ทีมกำลังสืบสวนต่อไปว่าผู้โจมตีสามารถอัปโหลดและแจกจ่ายส่วนขยายที่ถูกบุกรุกได้อย่างไร

ผู้ให้บริการกระเป๋าเงินยังอธิบายว่าการละเมิดนั้นจำกัดอยู่เพียงส่วนขยายเบราว์เซอร์เท่านั้น Trust Wallet เรียกร้องให้ผู้ใช้ปิดการใช้งานเวอร์ชันที่ถูกบุกรุกทันทีและอัปเดตเป็นเวอร์ชันที่แก้ไขแล้ว เวอร์ชัน 2.69 ซึ่งมีให้บริการผ่าน Chrome Web Store อย่างเป็นทางการ

มีรายงานว่าผู้ใช้แอปมือถือและผู้ใช้ส่วนขยายเวอร์ชันอื่นๆ ไม่ได้รับผลกระทบ

การโจมตี Trust Wallet เกิดขึ้นอย่างไร

นักวิจัยด้านความปลอดภัยและนักวิเคราะห์ออนเชนได้เริ่มสร้างไทม์ไลน์ของการโจมตี สัญญาณเริ่มต้นของการเตรียมการโดยผู้คุกคามย้อนกลับไปถึงต้นเดือนธันวาคม ตามรายงานของบริษัทรักษาความปลอดภัยไซเบอร์ SlowMist รายงานของพวกเขาระบุว่าโค้ดที่เป็นอันตรายถูกฝังเข้าไปในการสร้างส่วนขยายก่อนที่จะเผยแพร่ แสดงให้เห็นว่าเป็นการโจมตีที่วางแผนอย่างรอบคอบมากกว่าการโจมตีอัตโนมัติแบบง่ายๆ

เมื่อเผยแพร่ในวันคริสต์มาส ส่วนขยายที่ถูกบุกรุกได้รวบรวมข้อมูลที่ละเอียดอ่อนของผู้ใช้ รวมถึง seed phrases และส่งไปยังเซิร์ฟเวอร์ระยะไกลที่ควบคุมโดยผู้โจมตี เหยื่อที่นำเข้า seed phrase เข้าสู่ส่วนขยายเห็นกระเป๋าเงินของพวกเขาถูกดูดออกภายในไม่กี่นาที แม้ว่าพวกเขาจะปฏิบัติตามแนวปฏิบัติด้านความปลอดภัยทั่วไปแล้วก็ตาม

ทั่วทั้งชุมชนคริปโต นักสืบออนเชนได้ทำเครื่องหมายกระเป๋าเงินหลายร้อยรายการที่ได้รับผลกระทบจากการละเมิด การเคลื่อนย้ายสินทรัพย์อย่างรวดเร็วผ่านบริการผสมทำให้ความพยายามในการติดตามเงินทุนที่ถูกขโมยซับซ้อนขึ้น ทำให้ความพยายามในการกู้คืนเป็นเรื่องท้าทาย

ตลาดที่กว้างขึ้นรู้สึกตกใจกับข่าวนี้ ซึ่งเกิดขึ้นในช่วงเวลาที่ราคาคริปโตอยู่ภายใต้แรงกดดันอยู่แล้ว แม้ว่าขนาดของความสูญเสียจะค่อนข้างเจียมเนื้อเจียมตัวเมื่อเทียบกับการแฮ็กตลาดแลกเปลี่ยนขนาดใหญ่ในปีนี้ แต่เหตุการณ์นี้ได้ดึงดูดความสนใจใหม่ต่อโครงสร้างพื้นฐานกระเป๋าเงินที่ใช้เบราว์เซอร์และความปลอดภัยของห่วงโซ่อุปทาน

ในขณะเดียวกัน คำมั่นสัญญาต่อสาธารณะของ Zhao ในการครอบคลุมความสูญเสียมีจุดประสงค์เพื่อสร้างความมั่นใจให้กับผู้ใช้ว่าเหตุการณ์นี้จะไม่ส่งผลให้เกิดความสูญเสียทางการเงินส่วนบุคคล ข้อความของเขาเน้นย้ำว่าเงินทุนที่ได้รับผลกระทบจะได้รับการคืนเงินจากทุนสำรองของ Trust Wallet และปัญหาดูเหมือนจะจำกัดอยู่เพียงส่วนขยายที่ถูกบุกรุกเท่านั้น

ผู้สังเกตการณ์ในอุตสาหกรรมบางคนได้ตั้งคำถามเกี่ยวกับว่าเวอร์ชันที่เป็นอันตรายผ่านการตรวจสอบและถูกแจกจ่ายผ่านช่องทางอย่างเป็นทางการได้อย่างไร

มีข้อเสนอแนะเบื้องต้นว่าการละเมิดอาจเกี่ยวข้องกับการบุกรุกห่วงโซ่อุปทานหรือแม้แต่ความรู้จากภายใน เนื่องจากโค้ดที่ถูกเปลี่ยนแปลงสามารถแอบเข้าไปในการเผยแพร่อย่างเป็นทางการได้อย่างไร ข้อเสนอแนะเหล่านี้ได้จุดประกายการถกเถียงทั่วทั้งฟอรัมและแพลตฟอร์มโซเชียล โดยผู้ใช้บางคนแสดงความกังวลเกี่ยวกับการควบคุมภายในและกระบวนการตรวจสอบ

Trust Wallet ได้ตอบสนองโดยให้ความสำคัญกับการเผยแพร่ส่วนขยายที่แก้ไขแล้วและขอให้ผู้ใช้อัปเดตทันที นอกจากนี้ยังแนะนำให้ผู้ที่ได้รับผลกระทบสร้าง seed phrases ใหม่และย้ายสินทรัพย์ไปยังสภาพแวดล้อมที่ปลอดภัย

โพสต์ Trust Wallet founder, CZ vows to refund $7 million lost in Christmas Day hack ปรากฏครั้งแรกบน Technext