Back to top
  • 공유 Chia sẻ
  • 인쇄 In
  • 글자크기 Cỡ chữ
URL đã được sao chép

Lỗ hổng ví tiền mã hóa trên trình duyệt đe dọa quyền riêng tư 35 triệu người dùng, KU Leuven cảnh báo rủi ro bị liên kết IP – ví – on-chain

Lỗ hổng ví tiền mã hóa trên trình duyệt đe dọa quyền riêng tư 35 triệu người dùng, KU Leuven cảnh báo rủi ro bị liên kết IP – ví – on-chain / Tokenpost

Theo CoinDesk đưa tin ngày 14 tháng 7 (giờ địa phương), đại học KU Leuven – trường danh tiếng hàng đầu tại Bỉ – đã phát hiện lỗ hổng cấu trúc trong các tiện ích mở rộng 'ví tiền mã hóa' trên trình duyệt. Nhóm nghiên cứu cho biết có tới 85 tiện ích mở rộng ví tiền mã hóa phổ biến đang âm thầm rò rỉ *từ thông tin cá nhân* của người dùng cho các công cụ theo dõi bên thứ ba và nhà cung cấp RPC, khiến hoạt động on-chain, địa chỉ ví và *từ địa chỉ IP* của hơn 35 triệu người dùng có thể bị liên kết với nhau.

Theo KU Leuven, vấn đề không chỉ dừng ở mức *từ rò rỉ dữ liệu*. Nhiều ví trình duyệt không thu hồi quyền truy cập địa chỉ ví ngay cả khi người dùng đăng xuất hoặc xóa dữ liệu phiên. Điều này tạo ra môi trường thuận lợi để tin tặc tiến hành *từ tấn công phishing*, đe dọa, hoặc nhắm mục tiêu cụ thể vào từng người dùng dựa trên lịch sử giao dịch và danh tính suy đoán được. Danh sách cụ thể các tiện ích mở rộng không được công bố, nhưng trường cho biết đây chủ yếu là những ví đa chuỗi (multi-chain) và ví tương thích Ethereum(ETH) được sử dụng rộng rãi trên Chrome Web Store.

Một số nhà cung cấp ví đã nhanh chóng phản hồi. Coinbase Wallet, Coin98 và Hana Wallet được cho là đã triển khai bản vá nhằm chặn *từ trình theo dõi* thu thập dữ liệu nhận dạng của người dùng. Ngược lại, OKX Wallet, Bybit Wallet và Core Wallet lại xếp hạng lỗ hổng này ở mức “nguy cơ thấp”, ưu tiên xử lý sau, cho thấy sự khác biệt đáng kể trong cách các bên đánh giá rủi ro bảo mật liên quan đến *từ ví tiền mã hóa*. KU Leuven dự kiến sẽ trình bày chi tiết kỹ thuật về lỗ hổng này tại Hội thảo Công nghệ Bảo vệ Quyền riêng tư 2026 (PETS) diễn ra từ ngày 20 đến 25 tháng 7 năm 2026.

*bình luận* Việc một số ví coi đây là rủi ro “thấp” cho thấy khoảng cách nhận thức giữa giới nghiên cứu bảo mật và doanh nghiệp. Trong bối cảnh dữ liệu định danh ngày càng dễ bị tổng hợp và phân tích, khả năng liên kết IP – ví – hoạt động on-chain có thể đủ để xây dựng chân dung người dùng, phục vụ giám sát, nhắm mục tiêu lừa đảo hoặc tấn công có chủ đích.

Sự cố lần này cũng làm nổi bật *từ lỗ hổng bảo mật hệ sinh thái tiền mã hóa* trên nhiều lớp khác nhau. Trước đó, theo Reuters đưa tin ngày 24 (giờ địa phương), tài khoản X của SpaceXAI và Starlink đã bị tin tặc chiếm quyền kiểm soát để quảng bá một đồng meme ‘SCATMAN’. Sau khi thu hút được khoảng 125.000 đô la Mỹ từ nhà đầu tư FOMO, dự án này nhanh chóng “bốc hơi” theo kiểu “rug pull”, để lại thiệt hại trực tiếp cho những người nắm giữ token.

Song song, Cục Dự trữ Liên bang Mỹ (Fed) gần đây cũng nhấn mạnh lập trường sẽ không đứng ra giải cứu các dự án *từ tiền mã hóa* thất bại. Điều này tái khẳng định thị trường crypto vẫn là môi trường “*từ người mua tự chịu rủi ro*”, nơi nhà đầu tư phải tự đánh giá cả rủi ro biến động giá lẫn rủi ro kỹ thuật và bảo mật hệ thống.

Tỷ giá KRW/USD trong bối cảnh sự kiện được ghi nhận ở mức 1.490,60 won cho 1 đô la Mỹ. Với việc các vấn đề về *từ bảo mật ví*, rò rỉ *từ dữ liệu nhận dạng người dùng* và chuỗi vụ tấn công, lừa đảo tiếp tục xuất hiện, nghiên cứu của KU Leuven trở thành lời nhắc nhở quan trọng rằng đằng sau sự tiện lợi của *từ ví tiền mã hóa* là lớp rủi ro bảo mật cần được rà soát kỹ lưỡng, cả từ phía nhà phát triển lẫn người dùng cuối.

<Bản quyền ⓒ TokenPost, nghiêm cấm sao chép và phân phối trái phép>

Phổ biến nhất

Bình luận 0

Mẹo bình luận

Bài viết tuyệt vời. Mong có bài tiếp theo. Phân tích xuất sắc.

0/1000

Mẹo bình luận

Bài viết tuyệt vời. Mong có bài tiếp theo. Phân tích xuất sắc.
1