Tin tức 
Thông tin Coin 
Về chúng tôi 
Theo Trust Wallet công bố ngày 24 vừa qua (giờ địa phương), quy trình chi trả cho nạn nhân trong vụ tấn công trình duyệt Chrome của ví đa chuỗi Trust Wallet đang bị trì hoãn do sự cố kỹ thuật bất ngờ. Cụ thể, một lỗi từ Chrome Web Store dẫn đến việc tiện ích mở rộng bị xoá khỏi cửa hàng, kéo theo việc cập nhật công cụ xác thực – một yếu tố then chốt trong hệ thống đền bù – cũng bị ngừng trệ.
Giám đốc điều hành Eowyn Chen cho biết phiên bản mới của tiện ích vốn được thiết kế để giúp người dùng chứng minh quyền sở hữu ví và nộp yêu cầu hoàn tiền, nhưng đã bị Google tạm thời chặn phát hành sau sự cố. "Google hiện đã nhận thức vấn đề và đang xử lý nội bộ", cô nói thêm, đồng thời cảnh báo người dùng về các bản mở rộng giả mạo có nguy cơ xuất hiện lợi dụng tình hình.
Sự cố đền bù lần này là hệ lụy từ cuộc tấn công mạng xảy ra đúng dịp Giáng sinh năm ngoái. Vào ngày 25 tháng 12, Trust Wallet chính thức xác nhận phiên bản 2.68 trên Chrome đã bị chèn mã độc trước khi phát hành mà không qua kiểm duyệt nội bộ. Tin tặc đã lợi dụng tiện ích này để đánh cắp dữ liệu người dùng, bao gồm cả từ khóa khôi phục (seed phrase), dẫn đến việc rút trái phép khoảng 8,5 triệu USD (tương đương hơn 122,6 tỷ đồng) từ 2.520 ví cá nhân.
Phạm vi thiệt hại được xác định rõ là với những người đã cài đặt phiên bản 2.68 và đăng nhập ví từ ngày 24 đến 26 tháng 12. Người dùng ứng dụng di động, hoặc sử dụng bản mở rộng ngoài khung thời gian trên, hoàn toàn không bị ảnh hưởng.
Các chuyên gia an ninh mạng cho biết mã độc đã được ngụy trang dưới lớp phần mềm hợp pháp để vượt qua kiểm duyệt của Chrome. Ngay khi người dùng nhập “từ khóa khôi phục”, tài sản bắt đầu bị rút đồng loạt khỏi nhiều mạng blockchain chỉ trong vài giây.
Nguyên nhân gốc của vụ hack được cho là liên quan đến chiến dịch tấn công chuỗi cung ứng “Sha1-Hulud” được phát hiện từ tháng 11 năm ngoái. Đợt tấn công đã nhắm vào công cụ phát triển phần mềm và khoá API chính thức, cho phép kẻ xấu phân phối mã độc dưới danh nghĩa hợp pháp.
Trust Wallet đã gỡ bỏ bản độc hại, phục hồi lại phiên bản 2.69 ổn định và thu hồi mã phát hành bị rò rỉ. Từ ngày 29 tháng 12, nền tảng đã mở cổng đăng ký nhận đền bù cho người dùng bị thiệt hại. Cụ thể, người dùng phải cung cấp địa chỉ ví, thông tin giao dịch và dữ liệu xác minh danh tính tại cổng hỗ trợ chính thức.
Tuy nhiên, hơn 5.000 yêu cầu đền bù đã được gửi dù số lượng ví bị ảnh hưởng thật sự thấp hơn nhiều, làm dấy lên lo ngại về việc khai báo trùng lặp hoặc gian dối. Chính vì vậy, Trust Wallet đã lùi việc hỗ trợ để tích hợp công cụ xác thực nâng cao vào bản cập nhật kế tiếp. Nhưng đến nay, công cụ này vẫn chưa thể triển khai do lỗi phát sinh từ Chrome Web Store.
Sự việc tiếp tục dấy lên cảnh báo về nguy cơ ngày càng gia tăng từ các cuộc “tấn công ví cá nhân”. Theo thống kê mới nhất, phần lớn vụ mất cắp tiền mã hóa gần đây đều xuất phát từ lỗi bảo mật của ví – vốn là mục tiêu dễ bị bỏ qua trong hệ sinh thái Web3.
Các chuyên gia khuyến cáo người dùng nên tuân thủ nghiêm ngặt các quy tắc bảo mật: chỉ cài tiện ích từ nguồn chính thức, tuyệt đối không nhập “từ khóa khôi phục” vào môi trường trực tuyến và lưu trữ phục hồi ví ngoại tuyến (ví dụ như trên giấy hoặc thiết bị phần cứng). “Từ khóa” là chìa khóa duy nhất giúp truy cập ví – và cũng là điểm yếu chí tử nếu rơi vào tay kẻ gian.
“Bình luận”: Sự cố tại Trust Wallet lần này không đơn thuần là lỗi riêng lẻ, mà đã phơi bày lỗ hổng đáng lo ngại của toàn bộ chuỗi cung ứng trong Web3. Việc chậm bồi thường càng khiến uy tín nền tảng lung lay, trong bối cảnh lòng tin của nhà đầu tư vào các ví tự quản đang bị thử thách.
“Bình luận”: Giải pháp an toàn hiện tại vẫn là sử dụng ví lạnh cho tài sản lớn và giới hạn ví trình duyệt ở mức sử dụng tối thiểu. Bảo vệ tốt “từ khóa khôi phục” chính là bảo vệ toàn bộ tài sản số của bạn.
Bình luận 0