Tin tức

(Quảng cáo)

quảng cáo di động hàng đầu

Google Chrome đã nhận được bản vá bảo mật quan trọng, nhưng ví tiền điện tử của bạn vẫn có thể gặp rủi ro.

chuỗi

Giám đốc công nghệ của Ledger, Charles Guillemet, cảnh báo người dùng tiền điện tử sau khi Google vá 26 lỗ hổng bảo mật trên Chrome. Dưới đây là những điều người dùng ví điện tử trên trình duyệt cần biết và làm ngay bây giờ.

Soumen Datta

23 Tháng ba, 2026

quảng cáo di động native ad1

(Quảng cáo)

Mục lục

Giám đốc công nghệ của Ledger đã thực sự nói gì?Liệu lỗ hổng bảo mật trên Chrome có thể thực sự rút sạch tiền điện tử trong ví của bạn?Đây không phải là lần đầu tiên Chrome gặp vấn đề về bảo mật.Người dùng tiền điện tử nên làm gì ngay bây giờ?Trung Tâm Tài LiệuCâu Hỏi Thường Gặp

Sổ cái CTO Charles Guillemet là thúc giục Người dùng tiền điện tử nên cập nhật Google Chrome ngay lập tức sau khi Google phát hành Bản vá bảo mật này khắc phục 26 lỗ hổng, trong đó có 4 lỗ hổng được xếp hạng nghiêm trọng và 22 lỗ hổng được xếp hạng mức độ nghiêm trọng cao. 

Các lỗ hổng bao gồm lỗi quản lý bộ nhớ có thể cho phép kẻ tấn công không được xác thực thực thi mã độc từ xa thông qua một trang web được tạo ra đặc biệt.

Giám đốc công nghệ của Ledger đã thực sự nói gì?

Guillemet đã công khai cảnh báo này, đồng thời đưa ra một nhận xét sắc bén vượt ra ngoài bản vá lỗi Chrome. Ông nói: "Đây là lời nhắc nhở hữu ích rằng bạn không thể tin tưởng trình duyệt hay máy tính của mình để giữ những bí mật quý giá." Bình luận này nhắm thẳng vào những người dùng tiền điện tử dựa vào ví và tiện ích mở rộng trên trình duyệt cho các hoạt động hàng ngày.

Các lỗ hổng được phát hiện trong chu kỳ vá lỗi này thuộc ba loại lỗi quản lý bộ nhớ kinh điển:

  • Tình trạng sử dụng sau khi đã giải phóng (use-after-free), trong đó một chương trình tiếp tục sử dụng bộ nhớ sau khi bộ nhớ đã được giải phóng.
  • Lỗi tràn bộ đệm heap, xảy ra khi dữ liệu được ghi vượt quá dung lượng bộ nhớ được cấp phát.
  • Lỗi truy cập ngoài phạm vi, khi mã đọc hoặc ghi dữ liệu vào vùng nhớ nằm ngoài phạm vi cho phép.

Mỗi lỗ hổng này đều có thể bị khai thác để ghi mã độc vào bộ nhớ hệ thống và thực thi mã từ xa, thường là không cần người dùng làm gì ngoài việc truy cập vào một trang web độc hại.

Liệu lỗ hổng bảo mật trên Chrome có thể thực sự rút sạch tiền điện tử trong ví của bạn?

Tiền điện tử của bạn được lưu trữ trên chuỗi khối, chứ không phải bên trong trình duyệt. Tuy nhiên, một lỗ hổng bảo mật trình duyệt hoạt động hiệu quả không cần phải truy cập trực tiếp vào chuỗi khối để gây ra thiệt hại thực sự. Nó nhắm mục tiêu vào lớp giao diện ví, và đó là nơi rủi ro trở nên cụ thể.

Các ví điện tử trên trình duyệt như MetaMask, Rabby và Phantom chủ yếu hoạt động như các tiện ích mở rộng của Chrome. Nếu một lỗ hổng bảo mật được khai thác bên trong trình duyệt, kẻ tấn công có thể tương tác với giao diện người dùng của ví theo nhiều cách khác nhau.

Cách kẻ tấn công lợi dụng lỗ hổng trình duyệt để nhắm vào người dùng ví điện tử.

Sau khi xâm nhập vào môi trường trình duyệt, các phương pháp tấn công phổ biến bao gồm:

  • Thông báo về ví giả: Các lớp phủ giả mạo MetaMask hoặc màn hình xác nhận ví khác yêu cầu người dùng "kết nối lại" hoặc "nhận" tài sản. Nhấp chuột vào đó đồng nghĩa với việc chấp thuận giao dịch, chuyển tiền vào ví của kẻ tấn công.
  • Phê duyệt chi tiêu: Thay vì đánh cắp tiền ngay lập tức, lỗ hổng này yêu cầu chữ ký phê duyệt token. Điều này cho phép hợp đồng thông minh của kẻ tấn công chuyển token vào bất kỳ thời điểm nào trong tương lai.
  • Đánh cắp phiên: Nếu lỗ hổng bảo mật thu thập được cookie phiên từ một tab Exchange đang mở, nó có thể hoạt động như người dùng đó cho đến khi phiên kết thúc, di chuyển tài sản mà không cần tương tác thêm.
  • Lạm dụng clipboard và thao tác bàn phím: Một số lỗ hổng bảo mật theo dõi nội dung clipboard để chặn các địa chỉ ví hoặc mật khẩu đã được sao chép.

Đây không phải là kịch bản lý thuyết. Vào tháng 12 năm 2025, Trust Wallet xác nhận Một sự cố bảo mật liên quan đến tiện ích mở rộng Chrome phiên bản 2.68, trong đó mã độc đã lặp lại quá trình xử lý các ví được lưu trữ, kích hoạt yêu cầu cụm từ ghi nhớ, giải mã chúng bằng mật khẩu của người dùng và gửi chúng đến máy chủ do kẻ tấn công kiểm soát. Khoảng 7 triệu đô la đã bị đánh cắp, bao gồm khoảng 3 triệu đô la Bitcoin và hơn 3 triệu đô la Ethereum. 

Các dự án đầy hứa hẹn...

(Quảng cáo)

Polymarket | Thị trường dự đoán lớn nhất thế giớiCloudbetHỎIPolymarket | Thị trường dự đoán lớn nhất thế giớiCloudbetHỎIPolymarket | Thị trường dự đoán lớn nhất thế giớiCloudbetHỎI
Bài viết còn tiếp tục...

Chuyên gia điều tra blockchain ZachXBT đã xác nhận hàng trăm nạn nhân, với số tiền bị đánh cắp được chuyển qua ChangeNOW, FixedFloat và KuCoin để rửa tiền.

Đây không phải là lần đầu tiên Chrome gặp vấn đề về bảo mật.

Vào tháng 2025 năm XNUMX, Google  Lỗ hổng bảo mật chưa được vá (zero-day) trên Chrome, được theo dõi với mã CVE-2025-10585, là một lỗi nhầm lẫn kiểu dữ liệu trong V8, công cụ JavaScript của Chrome. Lỗ hổng nhầm lẫn kiểu dữ liệu có nghĩa là trình duyệt có thể xử lý sai các đối tượng trong bộ nhớ, mở ra đường dẫn đến thực thi mã độc. Google đã xác nhận vào thời điểm đó rằng lỗ hổng này đang bị khai thác tích cực trước khi bản vá được phát hành.

Chu kỳ vá lỗi đó tuân theo cùng một mô hình như hiện tại: một lỗ hổng ở cấp độ bộ nhớ, bị khai thác tích cực trong thực tế và bản vá được triển khai nhanh chóng trên kênh Stable.

Lỗ hổng bảo mật "DarkSword" trên iOS mở ra thêm một mặt trận thứ hai.

Riêng biệt, Binance ban hành Một cảnh báo bảo mật dành cho người dùng iOS được đưa ra vào khoảng thời gian đó. Apple đã xác định một chuỗi khai thác nghiêm trọng có tên "DarkSword", ảnh hưởng đến các phiên bản iOS từ 18.4 đến 18.7. 

Khác với các cuộc tấn công dựa trên trình duyệt, DarkSword là một lỗ hổng cấp hệ thống có thể tự động kích hoạt mà không cần bất kỳ tương tác nào của người dùng khi truy cập vào một trang web bị xâm nhập. Nó có thể trích xuất dữ liệu nhạy cảm, bao gồm thông tin ví tiền điện tử, và xóa dấu vết của chính nó sau khi thực thi, khiến việc phát hiện sau đó trở nên khó khăn.

Người dùng tiền điện tử nên làm gì ngay bây giờ?

Các lỗ hổng bảo mật trình duyệt không phải là mới, nhưng hậu quả đối với người dùng tiền điện tử lại trực tiếp hơn so với người dùng internet thông thường. Một phiên trình duyệt bị xâm phạm có thể dẫn đến các giao dịch đã ký, đánh cắp quyền phê duyệt và rút sạch tiền trong ví, ngay cả khi tài sản cơ bản vẫn được lưu trữ an toàn trên chuỗi.

Các bước thực hiện trước mắt rất đơn giản:

  • Cập nhật Google Chrome lên phiên bản mới nhất trong cài đặt trình duyệt của bạn.
  • Hãy kiểm tra xem tất cả các tiện ích mở rộng ví, bao gồm MetaMask, Rabby và Phantom, đều đang sử dụng phiên bản mới nhất.
  • Tránh tương tác với các thông báo nhắc nhở ví điện tử bất ngờ, yêu cầu kết nối lại hoặc thông báo yêu cầu nhận tài sản.
  • Người dùng iOS nên cập nhật lên phiên bản hệ thống mới nhất để khắc phục lỗ hổng bảo mật DarkSword.

Luận điểm cốt lõi của Guillemet vẫn đúng bất kể lỗ hổng nào đang gây chú ý trong tuần này. Trình duyệt là một môi trường không thân thiện với các bí mật tài chính. Đối với người dùng quản lý lượng tiền điện tử đáng kể chỉ thông qua các tiện ích mở rộng của trình duyệt, việc tính toán rủi ro này cần được xem xét lại.

Trung Tâm Tài Liệu

  1. Sổ cái CTO Charles Guillemet trên XBài đăng ngày 21 tháng 3

  2. Ví Trust trên XBài đăng ngày 26 tháng 12

  3. Theo báo cáo của Cyber ​​PressBản cập nhật Google Chrome khắc phục 26 lỗ hổng bảo mật, bao gồm cả lỗ hổng thực thi mã từ xa (RCE).

  4. Theo báo cáo của The Hacker NewsGoogle vá lỗi bảo mật chưa được phát hiện CVE-2025-10585 trên Chrome khi lỗ hổng V8 đang hoạt động đe dọa hàng triệu người dùng.

Câu Hỏi Thường Gặp

Việc cập nhật Chrome có bảo vệ các tiện ích mở rộng ví tiền điện tử của tôi không?

Việc cập nhật Chrome vá các lỗ hổng bảo mật tiềm ẩn của trình duyệt, từ đó loại bỏ bề mặt tấn công mà các phần mềm độc hại dựa vào. Tuy nhiên, bản thân các tiện ích mở rộng cũng có thể tiềm ẩn những rủi ro riêng biệt, như sự cố Trust Wallet hồi tháng 12 năm 2025 đã chứng minh. Do đó, việc cập nhật cả Chrome và các tiện ích mở rộng riêng lẻ là cần thiết.

Lỗ hổng sử dụng bộ nhớ sau khi đã giải phóng (use-after-free) trong trình duyệt là gì?

Đây là lỗi bộ nhớ xảy ra khi một chương trình tiếp tục tham chiếu đến vùng nhớ mà nó đã giải phóng. Kẻ tấn công có thể khai thác điều này để ghi dữ liệu do người dùng kiểm soát vào vùng nhớ đã được giải phóng đó và kích hoạt thực thi mã, thường là mà người dùng không hề hay biết mình đang làm điều gì sai.

Người dùng ví phần cứng có nên lo lắng về các lỗ hổng bảo mật của Chrome không?

Ví phần cứng như Ledger lưu trữ khóa riêng tư ngoại tuyến và yêu cầu xác nhận vật lý cho các giao dịch. Lỗ hổng bảo mật trình duyệt không thể trích xuất khóa trực tiếp từ thiết bị phần cứng. Tuy nhiên, các thông báo giả mạo ví và yêu cầu giao dịch độc hại vẫn có thể xuất hiện trên giao diện trình duyệt, đó là lý do tại sao cảnh báo của Guillemet vẫn áp dụng ngay cả đối với người dùng ví phần cứng kết nối thông qua trình duyệt.

Trách nhiệm công ty

Tuyên bố miễn trừ trách nhiệm: Quan điểm thể hiện trong bài viết này không nhất thiết đại diện cho quan điểm của BSCN. Thông tin được cung cấp trong bài viết này chỉ nhằm mục đích giáo dục và giải trí và không được hiểu là lời khuyên đầu tư hoặc lời khuyên dưới bất kỳ hình thức nào. BSCN không chịu trách nhiệm cho bất kỳ quyết định đầu tư nào được đưa ra dựa trên thông tin được cung cấp trong bài viết này. Nếu bạn tin rằng bài viết nên được sửa đổi, vui lòng liên hệ với nhóm BSCN qua email [email được bảo vệ].

Tác giả

Soumen Datta

Soumen là nhà nghiên cứu tiền điện tử từ năm 2020 và có bằng thạc sĩ Vật lý. Các bài viết và nghiên cứu của anh đã được xuất bản trên các ấn phẩm như CryptoSlate và DailyCoin, cũng như BSCN. Các lĩnh vực trọng tâm của anh bao gồm Bitcoin, DeFi và các altcoin tiềm năng cao như Ethereum, Solana, XRP và Chainlink. Anh kết hợp chiều sâu phân tích với sự rõ ràng của báo chí để mang đến những hiểu biết sâu sắc cho cả người mới bắt đầu và độc giả tiền điện tử dày dạn kinh nghiệm.

(Quảng cáo)

quảng cáo di động native ad2

THÔNG TIN MỚI NHẤT

10 Tháng Tư, 2026

Các quỹ ETF Polkadot ghi nhận dòng vốn chảy vào lần đầu tiên kể từ ngày 12 tháng 3.

10 Tháng Tư, 2026

Michael Saylor cho biết Bitcoin đã chạm đáy ở mức 60,000 đô la.

10 Tháng Tư, 2026

Avalanche đạt được thời gian hoàn thành khối dưới một giây: Điều đó có ý nghĩa gì đối với tốc độ và sự hoàn thiện?

10 Tháng Tư, 2026

Ethereum đạt số lượng giao dịch cao kỷ lục trong khi giá giảm 30% so với mức đỉnh.

10 Tháng Tư, 2026

Đài WLFI được ông Trump hậu thuẫn bảo vệ quyết định vay vốn đầu tư vào Dolomite trước những cáo buộc về việc tiếp cận thông tin nội bộ.

9 Tháng Tư, 2026

Liệu điện toán lượng tử có phải là mối đe dọa thực sự đối với Bitcoin?

9 Tháng Tư, 2026

Dòng vốn đổ vào Hedera ETF đã quay trở lại: Liệu đây chỉ là sự khởi đầu?

9 Tháng Tư, 2026

Canton Network đốt hơn 400 triệu đô la tiền xu Canton Coin

(Quảng cáo)

quảng cáo bên cạnh ad1

Tin tức tiền điện tử mới nhất

Cập nhật những tin tức và sự kiện mới nhất về tiền điện tử

Xem tất cảĐúng

Tham gia bản tin của chúng tôi

Đăng ký để nhận những hướng dẫn tốt nhất và tin tức mới nhất về Web3.

Đăng ký tại đây!
BSCN

BSCN

Nguồn cấp RSS BSCN

BSCN là điểm đến lý tưởng cho mọi vấn đề liên quan đến tiền điện tử và blockchain. Khám phá tin tức, phân tích và nghiên cứu thị trường tiền điện tử mới nhất, bao gồm Bitcoin, Ethereum, altcoin, memecoin và nhiều loại tiền điện tử khác.

Tin tức

giá BTC,EthereumSolanaBNBMạng PIAltcoinsMemecoins

Về

LIÊN HỆ VỚI CHÚNG TÔIAbout usChính sách bảo mậtĐiều khoản dịch vụ

© 2025 BSCN. Bảo lưu mọi quyền.

(Quảng cáo)

Biểu ngữ dán