Tin tức 
Thông tin Coin 
Về chúng tôi 
Khoảng 7 triệu USD bị đánh cắp do lỗi mở rộng trình duyệt của Trust Wallet
Sự cố bảo mật nghiêm trọng đã xảy ra đối với người dùng ví tiền mã hóa Trust Wallet, khi hacker đã đánh cắp khoảng 7 triệu USD (tương đương hơn 101 tỷ đồng) thông qua lỗ hổng trong tiện ích mở rộng trình duyệt Chrome. Đây là dạng tấn công theo chuỗi cung ứng trong quá trình cập nhật phần mềm – một trong những rủi ro đáng lo ngại nhất hiện nay với các công cụ ví tiện lợi nhưng kém bảo mật.
Theo CoinDesk đưa tin ngày 24 (giờ địa phương), sự cố được phát hiện khi nhà phân tích on-chain ZachXBT chia sẻ thông tin hàng loạt người dùng Trust Wallet bị mất tài sản ngay sau khi cập nhật tiện ích mở rộng lên phiên bản 2.68. Trust Wallet sau đó xác nhận sự việc, đồng thời cam kết sẽ “đền bù toàn bộ thiệt hại cho người dùng".
Cụ thể, hacker đã chèn mã độc vào phiên bản 2.68 của tiện ích mở rộng trình duyệt Chrome dành cho Trust Wallet. Mã độc này bí mật thu thập “từ” cụm từ khôi phục ví (còn gọi là cụm từ mnemonic) — yếu tố cho phép truy cập toàn bộ tài sản trong ví — sau đó chuyển dữ liệu đến máy chủ do hacker kiểm soát. Các phiên bản mobile và bản mở rộng khác không bị ảnh hưởng.
Công ty bảo mật SlowMist phân tích rằng mã độc trong phiên bản 2.68 có khả năng quét toàn bộ ví người dùng, yêu cầu cụm khôi phục và chuyển về máy chủ độc hại. Việc này được ngụy trang dưới hình thức một công cụ phân tích bảo mật hợp pháp, khiến giới chuyên môn đánh giá đây là một cuộc tấn công chuỗi cung ứng có tính chất tinh vi hiếm thấy.
“Đây là một lời cảnh báo rõ ràng về mối nguy hiện hữu của các tiện ích mở rộng trên trình duyệt. Dù mang lại sự tiện lợi, nhưng cũng dễ dàng trở thành mục tiêu tấn công nếu không có quy trình kiểm duyệt mã nghiêm ngặt.” — bình luận từ một nhà phát triển trong cộng đồng Ethereum.
Trước đó, vào năm 2023, Giám đốc Công nghệ của công ty ví cứng Ledger — Charles Guillemet — từng cảnh báo về lỗ hổng tiềm ẩn trong tiện ích mở rộng của Trust Wallet. Tuy nhiên, thời điểm đó chưa hề xảy ra thiệt hại thực tế.
Zhao Changpeng, người sáng lập Binance — công ty mẹ của Trust Wallet từ năm 2018 — đã trấn an người dùng qua mạng xã hội X rằng: “Tổng thiệt hại lên tới khoảng 7 triệu USD, nhưng Trust Wallet sẽ hoàn trả toàn bộ. Tài sản người dùng sẽ được đảm bảo theo cơ chế SAFU (Secure Asset Fund for Users)”.
Vụ việc càng đáng lo ngại vì cho thấy tốc độ tấn công rất nhanh: chỉ vài giờ sau khi người dùng cập nhật lên bản 2.68, hàng trăm ví đã bị rút sạch tiền. Điều đó chứng minh rằng hacker đã chuẩn bị kỹ lượng cho một cuộc tấn công quy mô lớn nhằm vào chuỗi cập nhật phần mềm.
Để khắc phục, Trust Wallet khuyến cáo người dùng đang sử dụng phiên bản 2.68 hãy ngay lập tức gỡ bỏ và cập nhật lên bản 2.69 đã được vá lỗi. Đồng thời, nên cân nhắc chính sách lưu trữ phân tán, chẳng hạn kết hợp ví lạnh hoặc ví phần cứng cùng ví phần mềm để giảm thiểu rủi ro.
Việc này một lần nữa khẳng định: dù sản phẩm có dễ sử dụng đến đâu, việc bảo vệ “từ” cụm khôi phục và kiểm tra kỹ lưỡng nhiệm vụ cập nhật phần mềm là điều bắt buộc trong thế giới tiền mã hóa đầy rủi ro.
Bình luận: Những gì xảy ra với Trust Wallet lần này là lời cảnh tỉnh cho toàn ngành công nghiệp. Các nhà phát triển cần đầu tư hơn vào kiểm duyệt mã nguồn, người dùng cần nâng cao nhận thức bảo mật. Một phút lơ là trong môi trường Web3 có thể khiến hàng triệu USD “bốc hơi”.
Bình luận 0