Vụ hack tiện ích mở rộng Trust Wallet trị giá 7 triệu đô la: Tất cả những điều bạn cần biết

Ví ủy thác xác nhận Một bản cập nhật độc hại cho tiện ích mở rộng trình duyệt Chrome chính thức của họ đã dẫn đến việc đánh cắp khoảng 7 triệu đô la tiền của người dùng. Vụ xâm phạm chỉ ảnh hưởng đến một phiên bản của tiện ích mở rộng, phiên bản 2.68, và liên quan đến việc kẻ tấn công đánh cắp cụm từ khôi phục ví thông qua mã độc được nhúng. Theo báo cáo, người dùng di động và các phiên bản trình duyệt khác không bị ảnh hưởng.

Chuyện gì đã xảy ra trong vụ tấn công chiếm quyền kiểm soát tiện ích mở rộng Trust Wallet?

Sự việc bắt đầu vào ngày 24 tháng 12 năm 2025, khi Trust Wallet phát hành phiên bản 2.68.0 của tiện ích mở rộng Chrome. Ban đầu, người dùng báo cáo một số trường hợp mất tiền rải rác. Ví bị rút hết tiền ngay sau khi được truy cập hoặc nhập thông qua tiện ích mở rộng. Những trường hợp tưởng chừng riêng lẻ nhanh chóng cho thấy một vấn đề rộng hơn.

Vào ngày Giáng sinh, nhà điều tra chuỗi tin ZachXBT ban hành Một cảnh báo công khai được đưa ra trong khi tiền bị đánh cắp vẫn đang được chuyển trên chuỗi khối. Ông đã liên kết trực tiếp việc rút tiền từ ví với bản cập nhật v2.68. Phân tích của ông đã giúp xác định rằng đây không phải là lỗi người dùng hay lừa đảo, mà là do một tiện ích mở rộng trình duyệt bị xâm nhập.

Vào ngày 26 tháng 12, Trust Wallet đã xác nhận vụ xâm phạm. Công ty cho biết chỉ có phiên bản 2.68 bị ảnh hưởng và khuyến cáo người dùng nên nâng cấp ngay lên phiên bản 2.69. Theo thông tin trên Chrome Web Store, tiện ích mở rộng này có khoảng một triệu người dùng.

Sau đó, Trust Wallet xác nhận rằng khoảng 7 triệu đô la tài sản kỹ thuật số đã bị đánh cắp trên nhiều chuỗi khối khác nhau.

Những người dùng nào bị ảnh hưởng?

Chỉ những người dùng đã cài đặt hoặc đăng nhập vào tiện ích mở rộng Trust Wallet phiên bản 2.68 trên Chrome trước 11:00 sáng ngày 26 tháng 12 (UTC) mới gặp rủi ro.

Theo Trust Wallet và các nhà nghiên cứu bảo mật:

• Người dùng ứng dụng di động không bị ảnh hưởng
• Các phiên bản tiện ích mở rộng trình duyệt khác không bị ảnh hưởng.
• Ví điện tử được truy cập thông qua phiên bản 2.68 có thể bị xâm phạm hoàn toàn.

Trong nhiều trường hợp, ví điện tử bị rút sạch tiền chỉ trong vài phút sau khi mở khóa tiện ích mở rộng hoặc nhập cụm từ khôi phục. Hàng trăm ví đã bị ảnh hưởng, bao gồm các địa chỉ Bitcoin, Ethereum và Solana.

CEO của Trust Wallet, Eowyn Chen, xác nhận rằng người dùng đã đăng nhập trong khoảng thời gian bị ảnh hưởng nên coi như ví của họ đã bị lộ thông tin và cần tạo ví mới.

Mã độc hoạt động như thế nào?

Theo hãng bảo mật blockchain sương mù chậmCuộc tấn công không phải do thư viện bên thứ ba độc hại gây ra. Thay vào đó, kẻ tấn công đã trực tiếp sửa đổi mã mở rộng của Trust Wallet. Logic độc hại được nhúng trong thành phần phân tích của tiện ích mở rộng.

Khám phá những dự án đầy hứa hẹn...

Các dự án đầy hứa hẹn...

(Quảng cáo)

Bài viết còn tiếp tục...

Cách thức hoạt động như sau:

• Đoạn mã đã lặp qua tất cả các ví được lưu trữ trong tiện ích mở rộng.
• Nó đã kích hoạt yêu cầu nhập cụm từ ghi nhớ cho mỗi ví.
• Khi người dùng mở khóa ví, cụm từ hạt giống được mã hóa đã được giải mã.
• Chuỗi mã hóa đã được giải mã và gửi đến máy chủ do kẻ tấn công kiểm soát.

Dữ liệu đã bị đánh cắp và chuyển đến api.metrics-trustwallet[.]com. Tên miền này được đăng ký vào ngày 8 tháng 12 năm 2025. Các yêu cầu đến máy chủ bắt đầu vào ngày 21 tháng 12, vài ngày trước khi bản cập nhật độc hại được phát hành.

Kẻ tấn công đã sử dụng thư viện phân tích mã nguồn mở hợp pháp có tên posthog-js làm vỏ bọc. Thay vì gửi dữ liệu đến điểm cuối phân tích chính xác, lưu lượng truy cập đã bị chuyển hướng đến máy chủ của kẻ tấn công.

SlowMist khẳng định đây là sự thỏa hiệp nội bộ trong mã nguồn, chứ không phải là lỗi do phụ thuộc gây ra.

Bản gia hạn bị chỉnh sửa đã được công bố như thế nào?

Cuộc điều tra nội bộ của Trust Wallet đã phát hiện ra một lỗi nghiêm trọng trong quy trình phát hành. Theo Giám đốc điều hành Eowyn Chen, một khóa API bị rò rỉ từ Chrome Web Store đã được sử dụng để phát hành phiên bản độc hại.

Phần mở rộng bị xâm phạm đã được tải lên vào lúc 12:32 chiều UTC ngày 24 tháng 12. Điều này đã vượt qua các bước kiểm tra nội bộ thông thường của Trust Wallet.

Điều này cho thấy kẻ tấn công không trực tiếp khai thác người dùng. Thay vào đó, chúng đã khai thác cơ sở hạ tầng phân phối. Các cuộc tấn công chuỗi cung ứng như thế này khó phát hiện hơn vì phần mềm trông có vẻ chính thức và đáng tin cậy.

Số tiền bị đánh cắp là bao nhiêu và số tiền đó đã đi về đâu?

Trust Wallet và các nhà nghiên cứu độc lập ước tính tổng thiệt hại vào khoảng 7 triệu đô la.

Danh sách chi tiết các tài sản bị đánh cắp đã biết bao gồm:

• Khoảng 3 triệu đô la trong giá BTC,
• Hơn 3 triệu USD trong Ethereum
• Số lượng nhỏ hơn trong Solana và các tài sản khác

Theo peckshield Và ZachXBT, số tiền bị đánh cắp đã nhanh chóng được rửa tiền.

Các động thái chính bao gồm:

• Khoảng 3.3 triệu đô la đã được gửi đến ChangeNOW.
• Khoảng 340,000 đô la đã được gửi đến FixedFloat.
• Khoảng 447,000 đô la đã được gửi đến KuCoin.

Hơn 4 triệu đô la đã được giao dịch thông qua các sàn giao dịch tập trung. Tính đến bản cập nhật mới nhất, khoảng 2.8 triệu đô la vẫn còn trong các ví do kẻ tấn công kiểm soát.

Mô hình này tương tự như các trường hợp xâm phạm ví điện tử khác, trong đó kẻ tấn công sử dụng các dịch vụ hoán đổi tức thời và các cầu nối để giảm thiểu khả năng truy vết.

Kế hoạch ứng phó và bồi thường của Trust Wallet

Trust Wallet đã tung ra bản vá lỗi nhanh chóng. Phiên bản 2.69 được phát hành vào ngày 25 tháng 12 để loại bỏ mã độc hại. Người dùng được khuyến cáo nên vô hiệu hóa phiên bản 2.68 ngay lập tức.

Công ty cũng đã triển khai một chương trình bồi thường chính thức.

Người dùng bị ảnh hưởng có thể gửi yêu cầu bồi thường thông qua... Biểu mẫu hỗ trợ chính thức trên trang web của Trust WalletQuy trình này yêu cầu:

• Địa chỉ email
• Quốc gia cư trú
• Địa chỉ ví bị xâm phạm
• Kẻ tấn công nhận địa chỉ
• Mã băm giao dịch liên quan

Trust Wallet khẳng định rằng mọi yêu cầu xác nhận sẽ được kiểm tra riêng lẻ.

"Chúng tôi đang làm việc không ngừng nghỉ để hoàn tất các chi tiết của quy trình bồi thường và mỗi trường hợp đều cần được xác minh cẩn thận để đảm bảo tính chính xác và bảo mật", công ty cho biết.

Changpeng Zhao, đồng sáng lập kiêm cựu CEO của Binance, công ty đã mua lại Trust Wallet vào năm 2018, xác nhận rằng các khoản lỗ sẽ được bù đắp.

Vì sao vụ tấn công này lại quan trọng đối với bảo mật ví điện tử?

Sự cố này nêu bật một rủi ro thường xuyên xảy ra trong lĩnh vực tiền điện tử. Ngay cả các ví không lưu ký cũng phụ thuộc vào các kênh phân phối phần mềm. Khi các kênh này gặp sự cố, người dùng có thể mất tất cả.

Vụ tấn công Trust Wallet là một ví dụ điển hình cho thấy xu hướng chung trong ngành. Đầu năm nay, Coinbase đã tiết lộ rằng họ sẽ hoàn trả hơn 400 triệu đô la sau một vụ vi phạm riêng biệt liên quan đến việc mua chuộc nhân viên hỗ trợ ở Ấn Độ.

Các phương pháp tấn công khác nhau, nhưng kết quả vẫn vậy. Niềm tin dễ bị lung lay ở những điểm yếu.

Đối với người dùng, điều này củng cố các quy tắc bảo mật cơ bản:

• Hãy coi các tiện ích mở rộng trình duyệt như phần mềm có rủi ro cao.
• Cập nhật ngay khi bản vá lỗi được phát hành.
• Hãy chuyển tiền nếu ví có nguy cơ bị xâm phạm.
• Không bao giờ tái sử dụng các cụm từ hạt giống đã bị lộ.

Đối với các nhà cung cấp ví điện tử, bài học rút ra là về bảo mật khi phát hành. Khóa API, quy trình xây dựng và thông tin đăng nhập cửa hàng hiện là những mục tiêu tấn công hàng đầu.

Kết luận

Vụ tấn công chiếm đoạt 7 triệu đô la từ tiện ích mở rộng Trust Wallet là kết quả của sự xâm phạm chuỗi cung ứng, chứ không phải do lỗi người dùng. Mã độc được nhúng trong phiên bản 2.68 của tiện ích mở rộng Chrome đã thu thập cụm từ hạt giống và rút tiền từ ví trên nhiều chuỗi khối khác nhau. 

Rust Wallet đã phản hồi bằng cách gỡ bỏ phiên bản bị ảnh hưởng, phát hành bản vá lỗi và cam kết hoàn trả đầy đủ. Sự cố này nhấn mạnh tầm quan trọng của các tiện ích mở rộng trình duyệt như một điểm yếu dễ bị tấn công trong lĩnh vực tiền điện tử và lý do tại sao cả người dùng lẫn nhà phát triển đều phải coi trọng vấn đề bảo mật phân phối cũng như quản lý khóa riêng.

Trung Tâm Tài Liệu

1. Ví Trust trên X: Thông báo ngày 26 tháng 12

2. Slowmist đăng bài trên XBáo cáo về vụ tấn công Trust Wallet

3. Bài đăng của PeckShield trên XVề vụ khai thác lỗ hổng Trust Wallet