Trust Wallet ได้รับการยอมรับอย่างเป็นทางการแล้วว่ามีช่องโหว่ด้านความปลอดภัยในเวอร์ชัน 2.68 ของส่วนขยายเบราว์เซอร์ Chrome ซึ่งส่งผลให้มีการถอนเงินโดยไม่ได้รับอนุญาตรวมมากกว่า $6 ล้านจากผู้ใช้ที่ได้รับผลกระทบในวันคริสต์มาส
บริษัทเน้นย้ำว่าเฉพาะเวอร์ชันของส่วนขยายนี้เท่านั้นที่ได้รับผลกระทบ โดยแอปมือถือและเวอร์ชันส่วนขยายอื่น ๆ ยังคงปลอดภัย
(แหล่งที่มา: X)
รายละเอียดเหตุการณ์และการตอบสนองในทันที
การละเมิดนี้ถูกแจ้งเตือนครั้งแรกโดยนักสืบบนเชน ZachXBT เมื่อวันที่ 25 ธันวาคม ซึ่งรายงานว่ามีการระบายเงินอย่างรวดเร็วในผู้ใช้ Trust Wallet หลายรายหลังจากการอัปเดตส่วนขยายล่าสุด
Trust Wallet ยืนยันปัญหาอย่างรวดเร็วบนโซเชียลมีเดีย เรียกร้องให้ผู้ใช้ปิดใช้งานเวอร์ชัน 2.68 ทันทีและอัปเกรดเป็นเวอร์ชันล่าสุด (เวอร์ชัน 2.69).
ทีมงานระบุว่ากำลังดำเนินการสอบสวนอย่างเต็มที่ พร้อมสัญญาว่าจะอัปเดตข้อมูลเพิ่มเติมเมื่อมีรายละเอียดออกมา สาเหตุทางเทคนิคที่แน่ชัดยังไม่ได้เปิดเผย
การวิเคราะห์ของ ZachXBT ชี้ให้เห็นว่าผู้โจมตีใช้ช่องโหว่เพื่อเข้าถึงกระเป๋าเงินโดยตรงและดำเนินการโอนเงินโดยไม่ได้รับอนุญาต เงินที่ถูกขโมยไปกว่า $4 ล้าน ถูกย้ายไปยังแพลตฟอร์มแลกเปลี่ยนแบบรวมศูนย์ ซึ่งอาจใช้ flash loans เพื่อปกปิดร่องรอย
ดูเหมือนว่าผู้ใช้หลายร้อยรายได้รับผลกระทบ ซึ่งเป็นหนึ่งในเหตุการณ์การโจมตีที่เกี่ยวข้องกับส่วนขยายที่ใหญ่ที่สุดในช่วงเวลาที่ผ่านมา
คำแนะนำสำหรับผู้ใช้และคำแนะนำด้านความปลอดภัย
Trust Wallet ได้ออกคำแนะนำด้านความปลอดภัยอย่างชัดเจน:
- ปิดใช้งานและลบเวอร์ชัน 2.68 ของส่วนขยายเบราว์เซอร์ทันที
- อัปเกรดเป็นเวอร์ชันที่ได้รับการแก้ไขแล้วเพื่อใช้งานต่อไป
- พิจารณาย้ายสินทรัพย์ไปยังแอปมือถือ ซึ่งมีการยืนยันตัวตนด้วยไบโอเมตริกซ์และไม่ได้รับผลกระทบ
- ตรวจสอบกิจกรรมในกระเป๋าเงินอย่างใกล้ชิดเพื่อจับตาเหตุการณ์ที่น่าสงสัย
บริษัทเน้นย้ำว่าแอปพลิเคชันมือถือยังคงปลอดภัยและแนะนำให้ใช้เป็นแพลตฟอร์มหลักในอนาคต
บริบทกว้างและบันทึกเหตุการณ์ในอดีต
เหตุการณ์นี้สะท้อนให้เห็นถึงช่องโหว่ใน Trust Wallet ที่เคยเกิดขึ้นในเดือนพฤศจิกายน 2022 ซึ่งเกี่ยวข้องกับโค้ด WebAssembly ซึ่งทำให้เกิดความสูญเสียประมาณ 170,000 ดอลลาร์ สหรัฐฯ บริษัทได้ชดเชยผู้ใช้ที่ได้รับผลกระทบในเวลานั้นเต็มจำนวน
การละเมิดในปัจจุบันมีขนาดใหญ่มากขึ้นอย่างมีนัยสำคัญ ทำให้เกิดคำถามเกี่ยวกับการชดเชย ในวันที่ 26 ธันวาคม 2025 Trust Wallet ยังไม่ได้ประกาศแผนการชดเชยใด ๆ แต่แรงกดดันจากชุมชนก็เพิ่มขึ้นเพื่อความชัดเจน
เหตุการณ์นี้เน้นให้เห็นถึงความเสี่ยงที่ยังคงมีอยู่ของกระเป๋าเงินบนเบราว์เซอร์ โดยเฉพาะช่องโหว่ที่ถูกแนะนำผ่านการอัปเดต และยังเป็นการย้ำถึงความซับซ้อนของผู้โจมตีสมัยใหม่ที่มุ่งเป้าไปที่เครื่องมือการเก็บรักษาสินทรัพย์ด้วยตนเองยอดนิยม
ผลกระทบต่ออุตสาหกรรม
การโจมตีนี้เป็นเครื่องเตือนใจอย่างชัดเจนถึงความสำคัญของการอัปเดตอย่างทันท่วงที การกระจายสินทรัพย์ในหลายแพลตฟอร์ม และการตรวจสอบธุรกรรมอย่างระมัดระวัง
ในขณะที่กระเป๋าเงินแบบไม่ดูแลรักษา (non-custodial) กำลังได้รับความนิยมมากขึ้น เหตุการณ์เช่นนี้จะทำให้เกิดการตรวจสอบด้านความปลอดภัยในอุตสาหกรรมมากขึ้น—อาจเร่งให้มีการเรียกร้องให้มีการตรวจสอบ การอัปเดตโปรโตคอล และการให้ความรู้แก่ผู้ใช้มากขึ้น
Trust Wallet ยังคงดำเนินการสอบสวนและให้คำมั่นว่าจะโปร่งใสในขณะที่สถานการณ์พัฒนา ผู้ใช้ควรระวังและติดตามช่องทางทางการสำหรับคำแนะนำล่าสุด
