Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Ledger ผู้ผลิตกระเป๋าฮาร์ดแวร์ชื่อดัง ออกมาเตือนผ่าน X เมื่อวันจันทร์ที่ผ่านมา ว่ากำลังเกิดการโจมตีซัพพลายเชนครั้งใหญ่ หลังจากบัญชีของนักพัฒนาที่มีชื่อเสียงบนแพลตฟอร์ม Node Package Manager (NPM) ถูกแฮ็ก

โค้ดอันตรายได้ถูกฝังลงไปในแพ็กเกจที่ถูกดาวน์โหลดไปแล้วมากกว่า 1 พันล้านครั้ง โดยทำงานในลักษณะ “สับเปลี่ยนที่อยู่กระเป๋าเงินคริปโต” โดยอัตโนมัติ หมายความว่าผู้ใช้อาจเผลอส่งเงินไปยังแฮ็กเกอร์โดยไม่รู้ตัว

แม้ Guillemet จะไม่ได้เปิดเผยชื่อของนักพัฒนาที่ถูกแฮ็ก แต่เขาเน้นย้ำว่าเหตุการณ์นี้สะท้อนถึงการเชื่อมต่อกันได้หมด ของระบบซอฟต์แวร์แบบโอเพ่นซอร์ส และชี้ให้เห็นว่าช่องโหว่ในเครื่องมือสำหรับนักพัฒนา สามารถสร้างผลกระทบต่อระบบเศรษฐกิจคริปโตได้อย่างฉับพลัน

“NPM เป็นเครื่องมือที่นักพัฒนา JavaScript ใช้กันอย่างแพร่หลาย เพื่อช่วยให้การติดตั้งแพ็กเกจต่าง ๆ ทำได้สะดวก แต่เมื่อบัญชีนักพัฒนาถูกยึด แฮ็กเกอร์ก็สามารถสอดแทรกโค้ดอันตรายเข้าไปในแพ็กเกจยอดนิยมได้” Guillemet กล่าวกับ CoinDesk

โค้ดที่ถูกแทรกจะพยายามขโมยเงินของผู้ใช้ โดยเปลี่ยนที่อยู่กระเป๋าที่ใช้ในการทำธุรกรรมให้กลายเป็นของแฮ็กเกอร์ หากแอปพลิเคชันแบบกระจายศูนย์ (dApp) หรือกระเป๋าซอฟต์แวร์ใด ๆ ใช้แพ็กเกจเหล่านี้ ก็มีความเสี่ยงที่ผู้ใช้อาจสูญเสียเงินไปทันที

เพื่อป้องกันความเสียหาย Guillemet แนะนำให้ผู้ใช้พึ่งพากระเป๋าฮาร์ดแวร์ที่มีหน้าจอความปลอดภัย และรองรับฟีเจอร์ Clear Signing เนื่องจากจะช่วยให้ผู้ใช้สามารถตรวจสอบที่อยู่ปลายทางของธุรกรรมได้อย่างชัดเจน ก่อนกดยืนยันการส่งจริง

“หากเป็นกระเป๋าฮาร์ดแวร์ที่ไม่มีหน้าจอ หรือกระเป๋าที่ไม่รองรับ Clear Signing ผู้ใช้จะไม่สามารถยืนยันรายละเอียดธุรกรรมได้อย่างแม่นยำ ซึ่งถือว่าเสี่ยงสูงมาก” เขากล่าว พร้อมย้ำเตือนผู้ใช้อีกครั้งว่า “ควรตรวจสอบธุรกรรมทุกครั้ง อย่าเซ็นธุรกรรมแบบไม่ตรวจสอบ ใช้ฮาร์ดแวร์วอลเล็ตที่มีหน้าจอ และเซ็นธุรกรรมแบบ Clear Sign เสมอ”