การอัปเดตที่ทำให้กระเป๋าเงินหมดตัว

สิ่งที่เกิดขึ้นจริงในเหตุการณ์ Trust Wallet

ขั้นตอนที่ 1: การปล่อยอัปเดตส่วนขยายเบราว์เซอร์ใหม่

อัปเดตใหม่สำหรับส่วนขยายเบราว์เซอร์ Trust Wallet ถูกปล่อยออกมาเมื่อวันที่ 24 ธันวาคม

• อัปเดตดูเหมือนเป็นเรื่องปกติ

• ไม่มีคำเตือนด้านความปลอดภัยที่สำคัญมากับอัปเดตนี้

• ผู้ใช้ติดตั้งผ่านกระบวนการอัปเดตตามปกติ

ณ จุดนี้ไม่มีอะไรดูน่าสงสัย

ขั้นตอนที่ 2: โค้ดใหม่ถูกเพิ่มเข้าไปในส่วนขยาย

หลังจากอัปเดต นักวิจัยที่ตรวจสอบไฟล์ของส่วนขยายสังเกตเห็นการเปลี่ยนแปลงในไฟล์ JavaScript ที่รู้จักในชื่อ 4482.js

ข้อสังเกตสำคัญ:

เรื่องนี้สำคัญเพราะกระเป๋าเงินในเบราว์เซอร์เป็นสภาพแวดล้อมที่ละเอียดอ่อนมาก โค้ดใดๆ ที่ส่งข้อมูลออกไปภายนอกจึงมีความเสี่ยงสูง

ขั้นตอนที่ 3: โค้ดปลอมตัวเป็น "Analytics"

โค้ดที่เพิ่มเข้ามาปรากฏเป็นโค้ดวิเคราะห์หรือโค้ดเก็บข้อมูล

โดยเฉพาะ:

• มันดูเหมือนโค้ดติดตามที่ใช้โดย SDK วิเคราะห์ทั่วไป

• มันไม่ทำงานตลอดเวลา

• มันจะเปิดใช้งานเฉพาะเมื่อเงื่อนไขบางอย่างเท่านั้น

การออกแบบนี้ทำให้ยากต่อการตรวจจับระหว่างการทดสอบทั่วไป

ขั้นตอนที่ 4: เงื่อนไขการเปิดใช้งาน — การนำเข้า Seed Phrase

การวิเคราะห์ย้อนกลับโดยชุมชนบ่งชี้ว่าโค้ดจะถูกเปิดใช้งานเมื่อผู้ใช้นำเข้า seed phrase เข้าสู่ส่วนขยาย

ทำไมนี่จึงสำคัญมาก:

• การนำเข้า seed phrase ทำให้กระเป๋าเงินสามารถควบคุมได้อย่างเต็มที่

• นี่เป็นช่วงเวลาที่มีมูลค่าสูงและเกิดขึ้นเพียงครั้งเดียว

• โค้ดที่เป็นอันตรายต้องการทำงานเพียงครั้งเดียวเท่านั้น

ผู้ใช้ที่ใช้กระเป๋าเงินที่มีอยู่แล้วอาจไม่ได้เปิดใช้งานเส้นทางนี้

ขั้นตอนที่ 5: ข้อมูลกระเป๋าเงินถูกส่งไปภายนอก

เมื่อเกิดเงื่อนไขการเปิดใช้งาน โค้ดถูกกล่าวหาว่าส่งข้อมูลไปยังปลายทางภายนอก:

metrics-trustwallet[.]com

สิ่งที่เป็นสัญญาณเตือนภัย:

• โดเมนดูคล้ายกับโดเมนย่อยที่ถูกต้องของ Trust Wallet มาก

• มันถูกลงทะเบียนเพียงไม่กี่วันก่อนหน้านั้น

• ไม่มีเอกสารสาธารณะ

• ภายหลังมันออฟไลน์

อย่างน้อยสิ่งนี้ยืนยันการสื่อสารขาออกที่ไม่คาดคิดจากส่วนขยายกระเป๋าเงิน

ขั้นตอนที่ 6: ผู้โจมตีดำเนินการทันที

หลังจากการนำเข้า seed phrase ไม่นาน ผู้ใช้รายงานว่า:

• กระเป๋าเงินถูกถอนหมดภายในไม่กี่นาที

• สินทรัพย์หลายรายการถูกย้ายอย่างรวดเร็ว

• ไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้เพิ่มเติม

พฤติกรรมบนเชนแสดงให้เห็น:

• รูปแบบธุรกรรมอัตโนมัติ

• ที่อยู่ปลายทางหลายแห่ง

• ไม่มีขั้นตอนการอนุมัติฟิชชิ่งที่ชัดเจน

สิ่งนี้บ่งบอกว่าผู้โจมตีมีการเข้าถึงเพียงพอที่จะลงนามในธุรกรรมแล้ว

ขั้นตอนที่ 7: เงินถูกรวมเข้าด้วยกันผ่านหลายที่อยู่

สินทรัพย์ที่ถูกขโมยถูกส่งผ่านกระเป๋าเงินที่ผู้โจมตีควบคุมหลายแห่ง

ทำไมนี่จึงสำคัญ:

• มันบ่งบอกถึงการประสานงานหรือสคริปต์

• มันลดการพึ่งพาที่อยู่เดียว

• มันตรงกับพฤติกรรมที่เห็นในการโจมตีที่มีการจัดระเบียบ

การประมาณการจากที่อยู่ที่ติดตามได้บ่งชี้ว่ามีการย้ายเงินหลายล้านดอลลาร์ แม้ว่าตัวเลขรวมจะแตกต่างกัน

ขั้นตอนที่ 8: โดเมนหายไป

หลังจากความสนใจเพิ่มขึ้น:

• โดเมนที่น่าสงสัยหยุดตอบสนอง

• ไม่มีคำอธิบายสาธารณะตามมาทันที

• ภาพหน้าจอและหลักฐานที่เก็บแคชกลายเป็นสิ่งสำคัญ

สิ่งนี้สอดคล้องกับผู้โจมตีที่ทำลายโครงสร้างพื้นฐานเมื่อถูกเปิดเผย

ขั้นตอนที่ 9: การยอมรับอย่างเป็นทางการมาในภายหลัง

Trust Wallet ยืนยันในภายหลังว่า:

• เหตุการณ์ด้านความปลอดภัยส่งผลกระทบต่อเวอร์ชันเฉพาะของส่วนขยายเบราว์เซอร์

• ผู้ใช้มือถือไม่ได้รับผลกระทบ

• ผู้ใช้ควรอัปเกรดหรือปิดใช้งานส่วนขยาย

อย่างไรก็ตาม ไม่มีการอธิบายทางเทคนิคอย่างเต็มรูปแบบทันทีเพื่ออธิบาย:

• ทำไมโดเมนถึงมีอยู่

• seed phrase ถูกเปิดเผยหรือไม่

• นี่เป็นปัญหาภายใน บุคคลที่สาม หรือภายนอกหรือไม่

ช่องว่างนี้ทำให้เกิดการเก็งกำไรอย่างต่อเนื่อง

สิ่งที่ได้รับการยืนยัน

• อัปเดตส่วนขยายเบราว์เซอร์แนะนำพฤติกรรมขาออกใหม่

• ผู้ใช้สูญเสียเงินหลังจากนำเข้า seed phrase ไม่นาน

• เหตุการณ์จำกัดอยู่ที่เวอร์ชันเฉพาะ

• Trust Wallet ยอมรับปัญหาด้านความปลอดภัย

สิ่งที่ถูกสงสัยอย่างมาก

• ปัญหาห่วงโซ่อุปทานหรือการฉีดโค้ดที่เป็นอันตราย

• Seed phrase หรือความสามารถในการลงนามถูกเปิดเผย

• โค้ดวิเคราะห์ถูกใช้ในทางที่ผิดหรือถูกทำให้เป็นอาวุธ

สิ่งที่ยังไม่ทราบ

• โค้ดเป็นอันตรายโดยเจตนาหรือถูกบุกรุกจากต้นทางหรือไม่

• ผู้ใช้กี่คนได้รับผลกระทบ

• ข้อมูลอื่นใดถูกนำไปหรือไม่

• การระบุตัวตนที่แน่นอนของผู้โจมตี

ทำไมเหตุการณ์นี้จึงสำคัญ

นี่ไม่ใช่ฟิชชิ่งทั่วไป

มันเน้นย้ำ:

• อันตรายของส่วนขยายเบราว์เซอร์

• ความเสี่ยงของการเชื่อใจอัปเดตอย่างมืดมน

• โค้ดวิเคราะห์สามารถถูกใช้ในทางที่ผิดได้อย่างไร

• ทำไมการจัดการ seed phrase จึงเป็นช่วงเวลาที่สำคัญที่สุดในความปลอดภัยของกระเป๋าเงิน

แม้แต่ช่องโหว่ที่มีอายุสั้นก็สามารถมีผลที่ตามมาอย่างร้ายแรงได้