Trust Wallet เผชิญกับคำเรียกร้องฉ้อโกงจำนวนมากหลังถูกแฮ็ก Chrome Extension มูลค่า 7 ล้านดอลลาร์

CEO Eowyn Chen เปิดเผยเมื่อวันจันทร์ว่า Trust Wallet ระบุที่อยู่กระเป๋าเงินที่ถูกบุกรุก 2,596 รายการจากการแฮ็กเมื่อวันที่ 24 ธันวาคม อย่างไรก็ตาม บริษัทได้รับการเรียกร้องค่าชดเชยเกือบ 5,000 รายการ ซึ่งความแตกต่างนี้ชี้ให้เห็นถึงการส่งคำขอที่เป็นการฉ้อโกงอย่างแพร่หลาย

"เพราะเหตุนี้ การตรวจสอบความเป็นเจ้าของกระเป๋าเงินอย่างถูกต้องจึงมีความสำคัญอย่างยิ่งเพื่อให้แน่ใจว่าเงินจะถูกคืนให้กับบุคคลที่ถูกต้อง" Chen กล่าว "ทีมงานของเรากำลังทำงานอย่างขยันขันแข็งเพื่อตรวจสอบการเรียกร้อง โดยรวมข้อมูลหลายจุดเพื่อแยกแยะเหยื่อที่ถูกต้องตามกฎหมายจากผู้กระทำการที่เป็นอันตราย"

ช่องว่างขนาดใหญ่ระหว่างเหยื่อจริงและการเรียกร้องทั้งหมดได้บังคับให้ Trust Wallet ละทิ้งความเร็วเพื่อความแม่นยำ ซึ่งเป็นการเปลี่ยนแปลงการดำเนินงานที่สำคัญในหนึ่งในเหตุการณ์ความปลอดภัยด้านคริปโตที่โดดเด่นที่สุดของปี

การโจมตีเกิดขึ้นอย่างไร

การละเมิดเริ่มต้นเมื่อผู้โจมตีได้รับคีย์ API ของ Chrome Web Store ที่รั่วไหล ทำให้พวกเขาสามารถข้ามการตรวจสอบความปลอดภัยภายในของ Trust Wallet ได้ เมื่อวันที่ 24 ธันวาคมเวลา 12:32 น. UTC เวอร์ชัน 2.68 ที่ถูกบุกรุกของส่วนขยาย Chrome เริ่มใช้งานบนร้านค้าอย่างเป็นทางการของ Google

จากการวิเคราะห์ของบริษัทความปลอดภัยบล็อกเชน SlowMist โค้ดที่เป็นอันตรายถูกซ่อนอย่างระมัดระวังภายในไลบรารีการวิเคราะห์ที่ถูกแก้ไขชื่อ posthog-js เมื่อผู้ใช้ปลดล็อกกระเป๋าเงินของพวกเขา โค้ดดังกล่าวจะแอบดึงข้อมูล seed phrases ของพวกเขา ซึ่งเป็นกุญแจหลักของกระเป๋าเงินคริปโตเคอร์เรนซี และส่งไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี

โดเมนที่ใช้เก็บข้อมูลที่ถูกขโมย "api.metrics-trustwallet.com" ถูกลงทะเบียนเมื่อวันที่ 8 ธันวาคม ซึ่งบ่งชี้ว่าการโจมตีได้รับการวางแผนล่วงหน้าอย่างน้อยสองสัปดาห์ นักสืบสวนคริปโตเคอร์เรนซี ZachXBT เป็นคนแรกที่ตั้งข้อสังเกตปัญหานี้ในวันคริสต์มาสหลังจากผู้ใช้หลายร้อยคนรายงานว่ากระเป๋าเงินถูกระบายออกไป

ที่มา: @EowynChen

Trust Wallet ได้ปล่อยเวอร์ชัน 2.69 ที่แก้ไขแล้วเมื่อวันที่ 25 ธันวาคม การละเมิดส่งผลกระทบเฉพาะผู้ใช้ส่วนขยาย Chrome ที่เข้าสู่ระบบก่อนวันที่ 26 ธันวาคมเวลา 11:00 น. UTC ผู้ใช้แอปมือถือและเบราว์เซอร์เวอร์ชันอื่น ๆ ยังคงปลอดภัย

คำถามเกี่ยวกับผู้ภายใน

บุคคลในอุตสาหกรรมหลายคนได้แสดงความกังวลเกี่ยวกับความเกี่ยวข้องของผู้ภายในที่อาจเกิดขึ้นในการโจมตี Changpeng Zhao ผู้ร่วมก่อตั้ง Binance ซึ่งเป็นเจ้าของ Trust Wallet กล่าวว่าการโจมตี "เป็นไปได้มากที่สุด" ที่ดำเนินการโดยผู้ภายใน แม้ว่าเขาจะไม่ได้ให้หลักฐานเพิ่มเติม

Yu Xian ผู้ร่วมก่อตั้ง SlowMist สังเกตว่าผู้โจมตีแสดงให้เห็นความรู้โดยละเอียดของซอร์สโค้ดของส่วนขยายและได้เตรียมโครงสร้างพื้นฐานหลายสัปดาห์ก่อนที่จะดำเนินการขโมย ความสามารถในการได้รับและใช้คีย์ API ของ Chrome Web Store ในทางที่ผิดบ่งชี้ว่ามีอุปกรณ์ของนักพัฒนาที่ถูกบุกรุกหรือสิทธิ์การใช้งานที่ถูกขโมย

Chen ยืนยันว่าบริษัทกำลังดำเนินการสืบสวนทางนิติวิทยาศาสตร์ที่กว้างขึ้นควบคู่ไปกับกระบวนการชดเชย แต่ยังไม่ได้ยืนยันว่าผู้ภายในมีส่วนเกี่ยวข้องหรือไม่

เงินที่ถูกขโมยและการฟอกเงิน

การโจมตีส่งผลให้เกิดความสูญเสียประมาณ 7 ล้านดอลลาร์ในคริปโตเคอร์เรนซีหลายชนิด รวมถึง Bitcoin, Ethereum และ Solana บริษัทความปลอดภัยบล็อกเชน PeckShield ติดตามเงินที่ถูกขโมยมากกว่า 4 ล้านดอลลาร์ที่เคลื่อนย้ายผ่านแพลตฟอร์มแลกเปลี่ยนแบบรวมศูนย์เช่น ChangeNOW, FixedFloat และ KuCoin เงินประมาณ 2.8 ล้านดอลลาร์ยังคงอยู่ในกระเป๋าเงินที่ควบคุมโดยผู้โจมตีณ วันที่ 26 ธันวาคม

การเคลื่อนย้ายเงินอย่างรวดเร็วผ่านแพลตฟอร์มแลกเปลี่ยนและเครือข่ายบล็อกเชนหลายแห่งทำให้ความพยายามในการกู้คืนซับซ้อนขึ้นและทำให้การติดตามผู้โจมตียากขึ้น

กระบวนการชดเชยอยู่ภายใต้การตรวจสอบ

Zhao ผู้ก่อตั้ง Binance ได้ให้คำมั่นว่าจะครอบคลุมความสูญเสียที่ได้รับการตรวจสอบทั้งหมด โดยระบุว่า "เงินของผู้ใช้ปลอดภัย (SAFU)" ซึ่งเป็นคำศัพท์ในอุตสาหกรรมคริปโตที่หมายถึง "กองทุนสินทรัพย์ที่ปลอดภัยสำหรับผู้ใช้" อย่างไรก็ตาม กระบวนการตรวจสอบมีความซับซ้อนมากกว่าที่คาดไว้ในตอนแรก

Trust Wallet กำหนดให้ผู้ใช้ที่ได้รับผลกระทบส่งข้อมูลโดยละเอียดผ่านแบบฟอร์มสนับสนุนอย่างเป็นทางการ รวมถึงที่อยู่อีเมล ที่อยู่กระเป๋าเงินที่ถูกบุกรุก ที่อยู่ของผู้โจมตี และแฮชของธุรกรรม บริษัทเน้นย้ำว่าขณะนี้ความแม่นยำมีความสำคัญเหนือกว่าความเร็ว

การเพิ่มขึ้นของการเรียกร้องที่เป็นเท็จเน้นย้ำถึงปัญหาที่เกิดขึ้นซ้ำ ๆ ในเหตุการณ์ความปลอดภัยคริปโตเคอร์เรนซี แม้ว่าความโปร่งใสของบล็อกเชนจะอนุญาตให้ติดตามเหตุการณ์ได้ แต่การเชื่อมโยงที่อยู่กระเป๋าเงินกับผู้ใช้ที่ได้รับการตรวจสอบโดยไม่มีบันทึกแบบรวมศูนย์ยังคงเป็นเรื่องท้าทาย ความตึงเครียดนี้กลายเป็นเรื่องเฉียบพลันเมื่อมีเงินหลายล้านดอลลาร์เป็นเดิมพัน

Chen กล่าวว่าทีมกำลังรวมวิธีการตรวจสอบหลายวิธีเพื่อประเมินการเรียกร้อง แต่ไม่ได้ให้รายละเอียดเกณฑ์เฉพาะที่ใช้ ระยะการตรวจสอบเป็นการทดสอบที่สำคัญว่า Trust Wallet จะสามารถกรองการส่งที่เป็นการฉ้อโกงออกได้สำเร็จในขณะที่รักษาความไว้วางใจในหมู่เหยื่อที่แท้จริงหรือไม่

คำเตือนเกี่ยวกับการหลอกลวงรอง

Trust Wallet ออกคำเตือนเร่งด่วนเกี่ยวกับนักต้มตุ๋นที่ใช้ประโยชน์จากสถานการณ์ บริษัทรายงานว่าเห็นแบบฟอร์มชดเชยปลอมแพร่กระจายผ่านโฆษณา Telegram บัญชีสนับสนุนปลอม และข้อความโดยตรงที่ขอคีย์ส่วนตัวหรือ seed phrases

กระบวนการชดเชยอย่างเป็นทางการไม่เคยขอรหัสผ่าน คีย์ส่วนตัว หรือวลีกู้คืน ผู้ใช้ควรส่งการเรียกร้องผ่านพอร์ทัลสนับสนุนที่ได้รับการตรวจสอบของ Trust Wallet ที่ trustwallet-support.freshdesk.com เท่านั้น การสื่อสารอื่น ๆ ที่อ้างว่าเสนอการชดเชยควรถือว่าเป็นการฉ้อโกง

คลื่นลูกที่สองของการหลอกลวงนี้เพิ่มชั้นความเสี่ยงอีกชั้นหนึ่งสำหรับเหยื่อที่กำลังจัดการกับเงินที่ถูกขโมยอยู่แล้ว บริษัทเน้นย้ำว่าผู้ใช้ควรตรวจสอบว่าการสื่อสารทั้งหมดมาจากช่องทางอย่างเป็นทางการของ Trust Wallet ก่อนดำเนินการใด ๆ

ผลกระทบด้านความปลอดภัยที่กว้างขึ้น

เหตุการณ์ Trust Wallet เข้ากับรูปแบบที่ใหญ่ขึ้นของการโจมตีห่วงโซ่อุปทานที่มุ่งเป้าไปที่ผู้ใช้คริปโตเคอร์เรนซีในปี 2024 ตามข้อมูลของ Chainalysis การขโมยคริปโตเคอร์เรนซีถึง 6.75 พันล้านดอลลาร์ในปี 2024 โดยการบุกรุกกระเป๋าเงินส่วนบุคคลเพิ่มขึ้นเป็น 158,000 รายการจาก 64,000 รายการในปีก่อนหน้า

ส่วนขยายเบราว์เซอร์นำเสนอความท้าทายด้านความปลอดภัยที่เป็นเอกลักษณ์เพราะพวกมันทำงานด้วยสิทธิ์ที่สูงขึ้นและสามารถเข้าถึงข้อมูลผู้ใช้ที่ละเอียดอ่อนได้ การอัปเดตที่ถูกบุกรุกเพียงครั้งเดียวสามารถส่งผลกระทบต่อผู้ใช้หลายแสนคนภายในไม่กี่ชั่วโมง

เหตุการณ์นี้ยังแสดงให้เห็นว่ากระบวนการตรวจสอบที่อ่อนแอสามารถเปลี่ยนการละเมิดความปลอดภัยครั้งเดียวให้กลายเป็นปัญหาหลายประการได้อย่างไร ขณะนี้ Trust Wallet ต้องอุทิศทรัพยากรที่สำคัญเพื่อกรองการเรียกร้องที่เป็นเท็จในขณะที่เหยื่อที่แท้จริงรอการชดเชย

ส่วนขยาย Chrome ของ Trust Wallet มีผู้ใช้ประมาณหนึ่งล้านคนตามรายการอย่างเป็นทางการ แม้ว่าการรับความเสี่ยงในทางปฏิบัติจะขึ้นอยู่กับจำนวนคนที่ติดตั้งเวอร์ชัน 2.68 และป้อนข้อมูลที่ละเอียดอ่อนในช่วงเวลาที่มีช่องโหว่

เส้นทางข้างหน้า

Trust Wallet ได้ดำเนินการหลายขั้นตอนเพื่อป้องกันเหตุการณ์ในอนาคต บริษัทหมดอายุ API การเผยแพร่ทั้งหมดเพื่อบล็อกการอัปเดตเวอร์ชันที่ไม่ได้รับอนุญาตเป็นเวลาสองสัปดาห์ถัดไป โดเมนที่เป็นอันตรายที่ใช้เก็บข้อมูลที่ถูกขโมยถูกรายงานต่อผู้ลงทะเบียนและถูกระงับทันที

อย่างไรก็ตาม คำถามยังคงอยู่เกี่ยวกับวิธีที่ผู้โจมตีได้รับคีย์ API ของ Chrome Web Store และมาตรการความปลอดภัยเพิ่มเติมจะถูกนำมาใช้หรือไม่ การสืบสวนทางนิติวิทยาศาสตร์ที่กำลังดำเนินการอาจให้คำตอบ แต่ Trust Wallet ยังไม่ได้ประกาศการเปลี่ยนแปลงเฉพาะในกระบวนการเผยแพร่

สำหรับผู้ใช้คริปโตเคอร์เรนซี เหตุการณ์นี้เสริมความสำคัญของการปฏิบัติต่อการอัปเดตกระเป๋าเงินด้วยความระมัดระวังอย่างยิ่ง ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำให้รอการยืนยันจากชุมชนก่อนติดตั้งการอัปเดตและพิจารณากระเป๋าเงินฮาร์ดแวร์สำหรับการถือครองที่สำคัญ

กระบวนการชดเชยดำเนินต่อไปในขณะที่ Trust Wallet ทำงานผ่านการเรียกร้องหลายพันรายการ ความสามารถของบริษัทในการระบุเหยื่อที่ถูกต้องตามกฎหมายอย่างแม่นยำในขณะที่บล็อกการส่งที่เป็นการฉ้อโกงน่าจะมีอิทธิพลต่อวิธีที่ผู้ให้บริการกระเป๋าเงินอื่น ๆ จัดการกับเหตุการณ์ความปลอดภัยในอนาคต

ตรวจสอบความเป็นจริง

การละเมิด Trust Wallet เปิดเผยช่องโหว่ที่สำคัญสองประการในความปลอดภัยคริปโตเคอร์เรนซี: การโจมตีห่วงโซ่อุปทานสามารถข้ามแม้แต่ระบบความปลอดภัยที่ออกแบบมาอย่างดีได้ และกระบวนการชดเชยเองก็กลายเป็นเป้าหมายของการฉ้อโกง ขณะที่ Trust Wallet กำลังดำเนินการตรวจสอบการเรียกร้องเกือบ 5,000 รายการสำหรับเหยื่อจริง 2,596 ราย เหตุการณ์นี้เป็นการเตือนใจที่มีค่าใช้จ่ายสูงว่าในความปลอดภัยคริปโต การทำความสะอาดอาจมีความท้าทายพอ ๆ กับการละเมิดเอง