Tiện ích Chrome của Trust Wallet bị tin tặc tấn công, thiệt hại 7 triệu USD

Ngày 25, công cụ mở rộng Chrome của ứng dụng ví tiền mã hóa Trust Wallet đã bị tin tặc tấn công, khiến một số người dùng bị mất tiền. Phiên bản bị ảnh hưởng là 2.68. Phía Trust Wallet đã phát hành cảnh báo bảo mật và khuyến nghị khẩn cấp người dùng cập nhật lên phiên bản mới 2.69 để đảm bảo an toàn.

Theo nhà nghiên cứu on-chain nổi tiếng ZachXBT chia sẻ trên Telegram ngày 25 (giờ địa phương), một số người dùng Trust Wallet đã phát hiện tiền điện tử trong ví của họ bị rút nhanh chóng trong vài giờ qua. Ông cho rằng vấn đề có thể liên quan trực tiếp đến bản cập nhật extension mới của Trust Wallet. ZachXBT cũng đang tổng hợp danh sách các địa chỉ ví bị ảnh hưởng, bao gồm cả Bitcoin(BTC), Ethereum(ETH), Solana(SOL) và một số hệ sinh thái blockchain khác.

Trust Wallet xác nhận chỉ phiên bản 2.68 bị ảnh hưởng

Trust Wallet đã xác nhận sự cố trên tài khoản X chính thức, nhấn mạnh rằng: “Vấn đề chỉ xuất hiện ở tiện ích mở rộng Chrome phiên bản 2.68, các phiên bản mở rộng khác và ứng dụng di động không bị ảnh hưởng.” Công ty yêu cầu người dùng "phiên bản 2.68" phải ngay lập tức vô hiệu hóa add-on và nâng cấp lên phiên bản 2.69.

Cụ thể, người dùng cần truy cập vào trang quản lý tiện ích của Chrome, vô hiệu hóa Trust Wallet, bật chế độ Nhà phát triển và nhấn 'Cập nhật' để đảm bảo tiện ích đang ở phiên bản 2.69. Quá trình này là bắt buộc để tiếp tục sử dụng ví một cách an toàn.

600 triệu USD bị rút, một phần tiền được chuyển lên sàn

Công ty bảo mật blockchain PeckShield ước tính tổng số tiền thiệt hại đã vượt quá 6 triệu USD (khoảng 146 tỷ đồng). Trong đó, khoảng 2,8 triệu USD (gần 68 tỷ đồng) hiện vẫn nằm trong ví của hacker, còn hơn 4 triệu USD (gần 100 tỷ đồng) đã được chuyển sang các sàn giao dịch tập trung (CEX).

Phân tích sâu từ PeckShield cho thấy hacker đã chia nhỏ giao dịch: khoảng 3,3 triệu USD được chuyển tới nền tảng ChangeNOW, 340.000 USD qua Fixed Float và khoảng 447.000 USD được gửi đến KuCoin - một trong những sàn giao dịch lớn. Đây được cho là một nỗ lực nhằm rửa tiền và che dấu danh tính.

Cộng đồng lo ngại về khả năng bồi thường cho nạn nhân

Trước sự lo lắng của cộng đồng, nhà điều tra ZachXBT đã công khai yêu cầu Trust Wallet đưa ra kế hoạch bồi thường rõ ràng thông qua nền tảng X. Mặc dù chưa có thông báo chi tiết về chính sách bồi thường, Trust Wallet cho biết nhóm hỗ trợ đang liên hệ trực tiếp với các nạn nhân để xử lý từng trường hợp cụ thể.

Thông tin đáng chú ý được đưa ra từ Tổng Giám đốc Binance, Trương Bằng Triệu (Changpeng Zhao), vào ngày 26 (giờ địa phương). Ông xác nhận tổng thiệt hại thực tế có thể lên đến 7 triệu USD (khoảng 171 tỷ đồng) nhưng "Trust Wallet dự kiến sẽ hoàn trả toàn bộ số tiền cho người dùng". Ông tuyên bố: “Tiền của người dùng vẫn 'SAFU' (an toàn)”.

Sự cố đặt ra bài học lớn về bảo mật

Sự kiện lần này được xem là lời cảnh tỉnh về mức độ rủi ro tiềm ẩn trong các tiện ích mở rộng liên quan đến ví tiền điện tử. Dù vụ việc chỉ ảnh hưởng đến người dùng một phiên bản nhất định, tính "tinh vi" và "có chủ đích" của cuộc tấn công cho thấy tin tặc đang ngày càng nâng cao kỹ thuật của mình.

Bình luận: Các hành vi nhắm mục tiêu vào tiện ích mở rộng cho thấy lỗ hổng nguy hiểm trong quy trình cập nhật và hạ tầng trình duyệt. Đảm bảo phiên bản phần mềm luôn ở mức mới nhất đóng vai trò tối quan trọng. Đồng thời, vai trò của các nhà điều tra độc lập như ZachXBT và cộng đồng truy vết on-chain được đánh giá rất cao trong việc kịp thời ngăn chặn rủi ro lan rộng.

Từ khóa: “Trust Wallet”, “tiện ích mở rộng Chrome”, “hacker”, “bảo mật tiền mã hóa”, “cập nhật phiên bản”