นักวิจัยด้านความปลอดภัยได้เปิดเผยช่องโหว่ Zero-day ที่ร้ายแรงในส่วนขยาย Trust Wallet สำหรับ Google Chrome ช่องโหว่นี้เกิดจากการบายพาสนโยบายความปลอดภัยเนื้อหา (Content Security Policy – CSP) ซึ่งทำให้เว็บไซต์ที่มุ่งร้ายสามารถใช้ iframe ที่สร้างขึ้นมาเป็นพิเศษเพื่อสกัดกุญแจส่วนตัว (private keys) ของผู้ใช้งานได้โดยตรง ส่งผลให้สินทรัพย์ดิจิทัลทั้งหมดในกระเป๋าเงินนั้นตกอยู่ในความเสี่ยง ช่องโหว่ดังกล่าวได้รับการแก้ไขแล้วหลังจากมีการเปิดเผยอย่างรับผิดชอบ
Severity: วิกฤต
System Impact:
- Trust Wallet Chrome Browser Extension
- กระเป๋าเงินคริปโตเคอร์เรนซีของผู้ใช้งาน
- กุญแจส่วนตัว (Private Keys)
Technical Attack Steps:
- ผู้ใช้งานเข้าชมเว็บไซต์ที่เป็นอันตรายที่ควบคุมโดยผู้โจมตี
- เว็บไซต์ที่เป็นอันตรายโหลด iframe ที่สร้างขึ้นมาเป็นพิเศษ ซึ่งชี้ไปยังหน้าภายในของ Trust Wallet
- เนื่องจากข้อผิดพลาดในการบายพาส Content Security Policy (CSP) ของส่วนขยาย Trust Wallet, iframe สามารถข้ามข้อจำกัดด้านความปลอดภัยได้
- iframe ดำเนินการโค้ด JavaScript ที่เป็นอันตรายภายในบริบทของส่วนขยาย Trust Wallet
- สคริปต์ที่เป็นอันตรายจะสกัดกุญแจส่วนตัวของผู้ใช้งาน
- กุญแจส่วนตัวจะถูกส่งออกไปยังเซิร์ฟเวอร์ของผู้โจมตี
Recommendations:
Short Term:
- อัปเดตส่วนขยาย Trust Wallet Chrome เป็นเวอร์ชันล่าสุดทันที
- พิจารณาถ่ายโอนเงินจากกระเป๋าเงินใดๆ ที่เคยจัดการโดยส่วนขยายที่ช่องโหว่ ไปยังกระเป๋าเงินใหม่ที่ปลอดภัย
- เพิกถอนการอนุญาตใดๆ ที่น่าสงสัยที่เคยให้แก่เว็บไซต์
Long Term:
- ควรใช้ Hardware Wallet สำหรับการจัดเก็บคริปโตเคอร์เรนซีจำนวนมากเสมอ
- ระมัดระวังในการเข้าชมเว็บไซต์ที่ไม่น่าเชื่อถือในขณะที่ส่วนขยายที่เกี่ยวข้องกับสินทรัพย์ดิจิทัลทำงานอยู่
- ตรวจสอบการตั้งค่าความปลอดภัยและสิทธิ์ของส่วนขยายเบราว์เซอร์เป็นประจำ
- ติดตามข่าวสารเกี่ยวกับการอัปเดตความปลอดภัยและแนวปฏิบัติที่ดีที่สุด
Source: https://thehackernews.com/2025/12/trust-wallet-chrome-extension-bug.html
Share this content: