ผู้ใช้งาน Trust Wallet ผ่าน Chrome ถูกขโมยเงินร่วม 8.5 ล้านเหรียญ

หนึ่งในการโจมตีที่แฮกเกอร์นิยมใช้ในยุคปัจจุบันนั้น คงจะหนีไม่พ้นการโจมตีห่วงโซ่อุปทาน หรือ Supply Chain Attacks ด้วยการฝังมัลแวร์ไว้ในส่วนใดส่วนหนึ่งของ Supply Chain เช่น ฮาร์ดแวร์ หรือแอปพลิเคชัน ต่าง ๆ เพื่อนำพามัลแวร์ลงสู่ระบบของเหยื่อ หรืออาจใช้เป็นตัวกลางในปฏิบัติการอื่น ๆ และนี่ก็เป็นอีกตัวอย่างหนึ่งของการโจมตีในรูปแบบนี้

จากรายงานโดยเว็บไซต์ The Hacker News ได้กล่าวถึงการตรวจพบการโจมตีในรูปแบบ Supply Chain Attacks ที่มีชื่อแคมเปญว่า Shai-Hulud (หรือ Sha1-Hulud) ด้วยการแฮกส่วนเสริม (Extension) ของเว็บเบราว์เซอร์ Google Chrome ที่มีชื่อว่า Trust Wallet ซึ่งเป็นส่วนเสริมที่ทำหน้าที่เป็นกระเป๋าเงินคริปโตเคอร์เรนซียอดนิยม ซึ่งการแฮกนี้เกิดขึ้นในช่วงเดือนพฤศจิกายน ค.ศ. 2025 (พ.ศ. 2568) ที่ผ่านมา โดยกลุ่มแฮกเกอร์ที่อยู่เบื้องหลังแคมเปญดังกล่าวนั้นสามารถกวาดเงินจากการโจมตีครั้งนี้ไปได้มากถึง 8,500,000 ดอลลาร์สหรัฐ (266,984,870.80 บาท) จากการดูดเงินในกระเป๋าของเหยื่อมากกว่า 2,520 บัญชี ไปยัง 17 กระเป๋าของแฮกเกอร์

ซึ่งในการโจมตีครั้งนี้ ทางผู้พัฒนา Trust Wallet กล่าวว่า ทางกลุ่มแฮกเกอร์สามารถแฮกกุญแจลับสำหรับนักพัฒนาบน Github หรือ Developer Github Secrets ไปได้ ทำให้แฮกเกอร์สามารถเข้าถึงโค้ดต้นฉบับ (Source Code) ของตัวส่วนเสริม Trust Wallet รวมทั้งได้กุญแจ Chrome Web Store (CWS) API ไปด้วย ทำให้แฮกเกอร์สามารถอัปโหลดส่วนเสริมที่มีการวางยามัลแวร์เอาไว้ ขึ้นไปยัง Chrome Web Store แทนที่ส่วนเสริมตัวจริง ซึ่งในการโจมตีครั้งนี้แฮกเกอร์ได้ทำการสร้างโดเมนที่มีชื่อว่า "metrics-trustwallet[.]com" และทำการฝังเครื่องมือสำหรับเข้าสู่ประตูหลังของระบบ หรือ Backdoor ไว้ในส่วนเสริมที่ถูกวางยาตัวดังกล่าว โดยเครื่องมือนี้จะทำการส่งรหัสกู้กระเป๋า (Seed Phrases) แบบ mnemonic Phrases กลับไปยังโดเมนดังกล่าวที่ใช้ชื่อว่า "api.metrics-trustwallet[.]com." ทำให้แฮกเกอร์สามารถขโมยกระเป๋าคริปโตของเหยื่อมาเป็นของตัวเองได้ในที่สุด

ทางทีมวิจัยจาก Koi Security บริษัทผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์ ยังได้กล่าวเกี่ยวกับส่วนเสริมดังกล่าวอีกว่า สิ่งที่ถูกขโมยไปได้นั้นไม่ได้มีแค่เพียง Seed Phrases เท่านั้น แต่ยังครอบคลุมถึงข้อมูลรหัสผ่าน และข้อมูลยืนยันตัวตนชีวภาพ (Biometrics) อีกด้วย ซึ่งตัวข้อมูล Seed Phrases นั้นจะส่งไปบรรจุไว้ใน field ข้อมูลที่มีชื่อว่า errorMessage ซึ่งเป็นส่วนสำหรับเก็บข้อมูลแสดงข้อผิดพลาดระหว่างการปลดล็อกกระเป๋า ทำให้การวิเคราะห์ข้อมูลเพื่อหาจุดผิดสังเกตนั้นอาจมองข้ามจุดนี้ไปได้

ในการสืบสวนระดับลึกนั้นพบว่า โดเมน "metrics-trustwallet[.]com" เมื่อแปลงเป็นหมายเลขไอพีแล้วจะออกมาเป็น "138.124.70.40" โดยหมายเลขนี้แสดงให้เห็นว่าตัวโดเมนนั้นถูกโฮสต์อย่างบนบริการโฮสต์ติ้งของ Stark Industries Solutions ซึ่งเป็นบริการโฮสต์ติ้งแบบถูกโจมตีได้ยาก (Bulletproof Hosting Service Provider) ที่ถูกจดทะเบียนขึ้นในประเทศสหราชอาณาจักร โดยตัวบริการนี้นั้นมีประวัติในการช่วยเหลือให้กิจกรรมการก่อการร้ายทางไซเบอร์โดยรัฐบาลรัสเซียนั้นสามารถดำเนินการได้อย่างสะดวก

จากเหตุการณ์นี้ ทาง Trust Wallet ได้ทำการแจ้งเตือนผู้ที่ใช้งานส่วนเสริม Trust Wallet บน Chrome ทำการอัปเดตเป็นเวอร์ชัน 2.69 โดยด่วนเพื่อแทนที่เวอร์ชัน 2.68 ที่เป็นเวอร์ชันที่ถูกแฮก ส่วนในกระบวนการชดเชยค่าเสียหาย (Reimbursement Claim) นั้น ผู้เสียหายสามารถทำการยื่นกับทำผู้พัฒนาได้โดยตรง โดยการชดเชยนั้นจะคิดแบบตามแต่กรณี (Case-By-Case) เพื่อแยกแยะระหว่างเหยื่อตัวจริงและพวกสวมรวยเป็นผู้เสียหาย