ผู้ใช้งาน Trust Wallet ผ่าน Chrome ถูกขโมยเงิน
ผู้ใช้งาน Trust Wallet ผ่าน Chrome ถูกขโมยเงินร่วม 8.5 ล้านเหรียญ
หนึ่งในการโจมตีที่แฮกเกอร์นิยมใช้ในยุคปัจจุบันนั้น คงจะหนีไม่พ้นการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attacks ด้วยการฝังมัลแวร์ไว้ในส่วนใดส่วนหนึ่งของ Supply Chain เช่น ฮาร์ดแวร์ หรือแอปพลิเคชัน ต่าง ๆ เพื่อนำพามัลแวร์ลงสู่ระบบของเหยื่อ หรืออาจใช้เป็นตัวกลางในปฏิบัติการอื่น ๆ และนี่ก็เป็นอีกตัวอย่างหนึ่งของการโจมตีในรูปแบบนี้
จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบการโจมตีในรูปแบบ Supply Chain Attacks ที่มีชื่อแคมเปญว่า Shai-Hulud (หรือ Sha1-Hulud) ด้วยการแฮกส่วนเสริม (Extension) ของเว็บเบราว์เซอร์ Google Chrome ที่มีชื่อว่า Trust Wallet ซึ่งเป็นส่วนเสริมที่ทำหน้าที่เป็นกระเป๋าเงินคริปโตเคอร์เรนซียอดนิยม ซึ่งการแฮกนี้เกิดขึ้นในช่วงเดือนพฤศจิกายน ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมา โดยกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญดังกล่าวนั้นสามารถกวาดเงินจากการโจมตีครั้งนี้ไปได้มากถึง 8,500,000 ดอลลาร์สหรัฐ (266,984,870.80 บาท) จากการดูดเงินในกระเป๋าของเหยื่อมากกว่า 2,520 บัญชี ไปยัง 17 กระเป๋าของแฮกเกอร์
ซึ่งในการโจมตีครั้งนี้ ทางผู้พัฒนา Trust Wallet กล่าวว่า ทางกลุ่มแฮกเกอร์สามารถแฮกกุญแจลับสำห�รับนักพัฒนาบน Github หรือ Developer Github Secrets ไปได้ ทำให้แฮกเกอร์สามารถเข้าถึงโค้ดต้นฉบับ (Source Code) ของตัวส่วนเสริม Trust Wallet รวมทั้งได้กุญแจ Chrome Web Store (CWS) API ไปด้วย ทำให้แฮกเกอร์สามารถอัปโหลดส่วนเสริมที่มีการวางยามัลแวร์เอาไว้ ขึ้นไปยัง Chrome Web Store แทนที่ส่วนเสริมตัวจริง ซึ่งในการโจมตีครั้งนี้แฮกเกอร์ได้ทำการสร้างโดเมนที่มีชื่อว่า "metrics-trustwallet[.]com" และทำการฝังเครื่องมือสำหรับเข้าสู่ประตูหลังของระบบ หรือ Backdoor ไว้ในส่วนเสริมที่ถูกวางยาตัวดังกล่าว โดยเครื่องมือนี้จะทำการส่งรหัสกู้กระเป๋า (Seed Phrases) แบบ mnemonic Phrases กลับไปยังโดเมนดังกล่าวที่ใช้ชื่อว่า "api.metrics-trustwallet[.]com." ทำให้แฮกเกอร์สามารถขโมยกระเป๋าคริปโตของเหยื่อมาเป็นของตัวเองได้ในที่สุด
ทางทีมวิจัยจาก Koi Security บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ยังได้กล่าวเกี่ยวกับส่วนเสริมดังกล่าวอีกว่า สิ่งที่ถูกขโมยไปได้นั้นไม่ได้มีแค่เพียง Seed Phrases เท่านั้น แต่ยังครอบคลุมถึงข้อมูลรหัสผ่าน และข้อมูลยืนยันตัวตนชีวภาพ (Biometrics) อีกด้วย ซึ่งตัวข้อมูล Seed Phrases นั้นจะส่งไปบรรจุไว้ใน field ข้อมูลที่มีชื่อว่า errorMessage ซึ่งเป็นส่วนสำหรับเก็บข้อมูลแสดงข้อผิดพลาดระหว่างการปลดล็อกกระเป๋า ทำให้การวิเคราะห์ข้อมูลเพื่อหาจุดผิดสังเกตนั้นอาจมองข้ามจุดนี้ไปได้
ในการสืบสวนระดับลึกนั้นพบว่า โดเมน "metrics-trustwallet[.]com" เมื่อแปลงเป็นหมายเลขไอพีแล้วจะออกมาเป็น "138.124.70.40" โดยหมายเลขนี้แสดงให้เห็นว่าตัวโดเมนนั้นถูกโฮสต์อย่างบนบริการโฮสต์ติ้งของ Stark Industries Solutions ซึ่งเป็นบริการโฮสต์ติ้งแบบถูกโจมตีได้ยาก (Bulletproof Hosting Service Provider) ที่ถูกจดทะเบียนขึ้นในประเทศสหราชอาณาจักร โดยตัวบริการนี้นั้นมีประวัติในการช่วยเ��หลือให้กิจกรรมการก่อการร้ายทางไซเบอร์โดยรัฐบาลรัสเซียนั้นสามารถดำเนินการได้อย่างสะดวก
จากเหตุการณ์นี้ ทาง Trust Wallet ได้ทำการแจ้งเตือนผู้ที่ใช้งานส่วนเสริม Trust Wallet บน Chrome ทำการอัปเดตเป็นเวอร์ชัน 2.69 โดยด่วนเพื่อแทนที่เวอร์ชัน 2.68 ที่เป็นเวอร์ชันที่ถูกแฮก ส่วนในกระบวนการชดเชยค่าเสียหาย (Reimbursement Claim) นั้น ผู้เสียหายสามารถทำการยื่นกับทำผู้พัฒนาได้โดยตรง โดยการชดเชยนั้นจะคิดแบบตามแต่กรณี (Case-By-Case) เพื่อแยกแยะระหว่างเหยื่อตัวจริงและพวกสวมรวยเป็นผู้เสียหาย
จากประสบการณ์ตรงที่ได้ใช้ Trust Wallet ผ่านเบราว์เซอร์ Chrome ขอแชร์ข้อควรรู้และวิธีป้องกันเพิ่มเติมที่น่าจะเป็นประโยชน์สำหรับผู้ใช้งานคริปโตทุกคน สิ่งที่สำคัญที่สุดคือการไม่ใช้ส่วนเสริม (Extension) ที่ไม่ได้มาจากแหล่งที่เชื่อถือได้ การตรวจสอบและติดตั้งอัปเดตอย่างรวดเร็วเมื่อมีแจ้งเตือนเป็นสิ่งที่ควรทำทันที เพราะในกรณีนี้เหตุมาจากแฮกเกอร์ได้เข้าถึงกุญแจลับบน Github ทำให้สามารถส่งส่วนเสริมที่ติดมัลแวร์ผ่าน Chrome Web Store ได้ อีกประการหนึ่งคือการเก็บรักษารหัสกู้กระเป๋า (Seed Phrases) อย่างปลอดภัย หลีกเลี่ยงการเก็บไว้ในรูปแบบที่สามารถถูกสอดแนมหรือส่งข้อมูลออกแบบเงียบ ๆ เช่นการถูกดักข้อมูลผ่าน Backdoor และการโจมตีแบบ Supply Chain ที่มีความซับซ้อนนี้ สร้างความเสี่ยงสูงที่ผู้ใช้จะสูญเสียทรัพย์สินโดยไม่ทันสังเกต ตัวอย่างจากข่าวนี้ แฮกเกอร์ใช้โดเมน "metrics-trustwallet.com" และที่อยู่ IP ที่เกี่ยวข้องกับบริการโฮสต์ติ้งแบบ bulletproof ซึ่งทำให้การจับตัวหรือปิดโดเมนทำได้ยากขึ้น แสดงให้เห็นถึงความอันตรายและความซับซ้อนของภัยคุกคามไซเบอร์สมัยใหม่ ในฐานะผู้ใช้งาน ผมแนะนำให้ใช้แอป Trust Wallet ที่ติดตั้งจากแหล่งทางการบนอุปกรณ์มือถือแทนการใช้ส่วนเสริมบน Chrome โดยตรง เพื่อลดความเสี่ยง และสำรองข้อมูล Seed Phrases ไว้ในที่ที่ปลอดภัย เช่น กระดาษที่เก็บในที่ล็อก และไม่แชร์ข้อมูลส่วนตัวหรือรหัสผ่านกับใคร สุดท้ายนี้ อย่าลืมติดตามประกาศอัปเดตและข่าวสารจากทาง Trust Wallet และแหล่งข้อมูลด้านความปลอดภัยไซเบอร์อย่างสม่ำเสมอ เพื่อรับมือกับการโจมตีรูปแบบใหม่ ๆ ที่อาจเกิดขึ้นในอนาคต
