ในช่วงวันหยุดคริสต์มาสที่ผ่านมา Trust Wallet กระเป๋าเงินที่ไม่ใช่การดูแลซึ่งใช้กันอย่างแพร่หลาย ยืนยันการโจมตีโซ่อุปทานที่ร้ายแรง รายงานอย่างเป็นทางการได้ยืนยันแล้วว่าการละเมิดด้านความปลอดภัยนี้ส่งผลให้มีประมาณ 7 ล้านดอลลาร์ ในความสูญเสีย โดยส่งผลกระทบโดยตรง 2,596 วอลเล็ต ที่อยู่.
แม้ความรุนแรงของเหตุการณ์นี้ Trust Wallet ผู้นำองค์กรและผู้ร่วมก่อตั้ง Binance Changpeng Zhao (CZ) ได้ออกคำมั่นสัญญาที่ชัดเจนว่า Trust Wallet จะชดเชยทุกความเสียหายที่ได้รับการยืนยันโดยมั่นใจว่าเงินของผู้ใช้ยังคง "SAFU"
-
การวิเคราะห์เหตุการณ์: การโจมตีมูลค่า 7 ล้านดอลลาร์เกิดขึ้นอย่างไร
สาเหตุหลักของเหตุการณ์รั่วไหลนี้ได้ถูกติดตามไปยัง Trust Wallet Chrome Browser Extension เวอร์ชัน 2.68.
-
เวกเตอร์การโจมตี: กลุ่มโจมตีสามารถเจาะช่องทางการกระจายสินค้าได้ ซึ่งอาจเกิดจากการรั่วไหลของ API key ของ Chrome Web Store เพื่อส่งอัปเดตที่เป็นอันตรายเข้าไป
-
รายละเอียดทางเทคนิค: บริษัทด้านความปลอดภัย เช่น SlowMist ระบุว่าผู้โจมตีฝังประตูด้านหลังไว้ในโค้ดของส่วนขยาย ตัวสคริปต์ที่เป็นอันตรายนี้มุ่งเป้าไปที่ mnemonic phrases และ private keys โดยส่งข้อมูลที่ละเอียดอ่อนไปยังเซิร์ฟเวอร์ที่ผู้โจมตีควบคุม โดยใช้ไลบรารีการวิเคราะห์ posthog-js ที่ถูกต้องตามกฎหมายเป็นทางปกปิด
-
ขอบเขตของผลกระทบ: การละเมิดนั้นมีความเฉพาะเจาะจงสูง โดยส่งผลกระทบเพียงผู้ใช้เดสก์ท็อปเท่านั้นที่ใช้หรือเข้าสู่ระบบ v2.68 ขยายตั้งแต่วันที่ 24 ถึง 26 ธันวาคม 2025ผู้ใช้แอปพลิเคชันบนมือถือและผู้ใช้เวอร์ชันเบราว์เซอร์อื่นๆ ไม่ได้รับผลกระทบ
-
แผนการชดเชยของ Trust Wallet: การดำเนินการ 2,596 คำร้องที่ถูกต้อง
ซีอีโอของ Trust Wallet คือ อีโอเวย์น เช็น ได้ให้ข้อมูลอัปเดตล่าสุดเกี่ยวกับแผนการคืนเงิน แม้ว่า ที่อยู่กระเป๋าเงินที่ได้รับผลกระทบ 2,596 ที่อยู่ ได้รับการระบุแล้ว ทีมงานได้รับคำร้องเรียนเกือบ 5,000 ฉบับ ซึ่งมีหลายฉบับที่ดูเหมือนจะเป็นการยื่นซ้ำหรือเป็นการหลอกลวงเพื่อแสวงหาประโยชน์จากกระบวนการคืนเงิน
คู่มือสำหรับผู้ใช้ที่ได้รับผลกระทบในการยื่นขอคืนเงิน:
-
ขั้นตอนการยืนยัน: ทีมกำลังดำเนินการตรวจสอบทางการเงินบนบล็อกเชนเพื่อยืนยันทุกการอ้างสิทธิ์ที่มีต่อรายการที่ระบุของที่อยู่ที่ถูกโจมตี
-
พอร์ทัลการส่งงาน: ผู้เสียหายได้รับคำแนะนำให้ใช้ทางการ แบบฟอร์มการสนับสนุน Trust Wallet เพื่อส่งข้อมูลของพวกเขา
-
ข้อมูลที่จำเป็น: คุณจำเป็นต้องให้ที่อยู่อีเมลติดต่อ ที่อยู่กระเป๋าเงินที่ถูกโจมตี ที่อยู่ปลายทางของผู้โจมตี และแฮชธุรกรรม (TXIDs) ที่เฉพาะเจาะจงของธุรกรรมที่ไม่ได้รับอนุญาต
-
มาตรการความปลอดภัยที่จำเป็นสำหรับผู้ใช้ Trust Wallet
เนื่องจากเหตุการณ์การละเมิดความปลอดภัยล่าสุดนี้ ผู้ใช้ทุกคนควรดำเนินการทันทีเพื่อปกป้องสินทรัพย์ดิจิทัลของตนเอง
-
อัปเดตทันที: ให้คุณแน่ใจว่าการขยายของคุณได้รับการอัปเดตเป็น v2.69 หรือสูงกว่า ควรปิดใช้งานและลบเวอร์ชัน 2.68 ทันที
-
ย้ายเงินทุน: ผู้เชี่ยวชาญด้านความปลอดภัยแนะนำว่า ผู้ที่มีการปฏิสัมพันธ์กับเวอร์ชัน v2.68 ที่ถูกโจมตีควรสร้างที่อยู่กระเป๋าเงินใหม่ทั้งหมด (พร้อมกับวลีกู้คืนใหม่) และย้ายสินทรัพย์ที่เหลืออยู่ไปยังที่อยู่ใหม่นั้น
-
ระวังการหลอกลวง: โปรดระมัดระวังเว็บไซต์ "ชดเชย" ปลอมหรือบัญชี Telegram ที่ไม่น่าเชื่อถือ Trust Wallet จะไม่เคยขอ passphrase หรือ private keys ของคุณเพื่อจัดการคืนเงิน
-
ผลกระทบต่ออุตสาหกรรม: ความยืดหยุ่นของกระเป๋าเงินแบบไม่ใช่ผู้ดูแล
เหตุการณ์นี้แสดงให้เห็นถึงความเปราะบางที่สำคัญในกระบวนการกระจายของเครื่องมือที่ไม่ใช่การดูแลโดยตรง แม้ว่ากระเป๋าเงินดิจิทัลจะเป็นแบบกระจายศูนย์ แต่ "ห่วงโซ่อุปทาน" (เช่น Chrome Web Store) ยังคงเป็นจุดล้มเหลวแบบศูนย์กลางอยู่ อย่างไรก็ตาม การตอบสนองอย่างรวดเร็วและคำสัญญาในการชดเชยเต็มจำนวนของ Trust Wallet ได้กำหนดมาตรฐานใหม่ให้กับอุตสาหกรรมเกี่ยวกับความรับผิดชอบของแพลตฟอร์ม
เมื่อเราเข้าสู่ยุคที่มีการควบคุมมากขึ้น ความสามารถของผู้ให้บริการในการเสนอ ความมุ่งมั่นในการชดเชยท หลังจากมีการโจมตีครั้งใหญ่ อาจกลายเป็นปัจจัยสำคัญในการรักษาความไว้วางใจของผู้ใช้และส่งเสริมการใช้งานในระยะยาว
สรุป:
แนวทางเชิงรุกของ Trust Wallet ต่อกระเป๋าเงิน 2,596 ที่ได้รับผลกระทบ ได้ช่วยลดความกังวลของชุมชนอย่างมาก การระบุช่องโหว่ที่ชัดเจนในความปลอดภัยของส่วนขยายเบราว์เซอร์ Trust Wallet และการเสนอแนวทางการฟื้นฟูที่ชัดเจน ทำให้แพลตฟอร์มกำลังดำเนินการฟื้นฟูชื่อเสียงในฐานะประตูทางเข้าอันดับหนึ่งสู่ Web3