“Thông báo khẩn: Một số người dùng ví tiền số Trust Wallet cho biết tài sản của họ đã bị rút khỏi ví trong vài giờ qua. Nguyên nhân chính xác chưa được xác định, nhưng trùng hợp là tiện ích mở rộng Trust Wallet trên trình duyệt Google Chrome đã tung ra bản cập nhật hôm trước”, chuyên gia phân tích dữ liệu trên blockchain ZachXBT viết trên Telegram hôm 26.12.
Lỗ hổng của Trust Wallet gây thiệt hại gần 7 triệu USD
Sự cố bắt đầu xuất hiện từ cuối ngày 25, một số người dùng cho biết ví của họ đã bị rút sạch tiền sau khi nhập Seed Phrase (cụm từ khôi phục) vào tiện ích mở rộng trên trình duyệt Chrome, phiên bản 2.68 của Trust Wallet. Người dùng đã nhập Seed Phrase và không biết họ đã giao chìa khóa ví cho kẻ tấn công.
Các nhà điều tra sau đó xác định vụ tấn công bắt đầu từ các tệp JavaScript chứa mã độc được âm thầm cài cắm trong tiện ích mở rộng. Chúng được ngụy trang dưới các chức năng phân tích thông thường.
Khi người dùng nhập cụm từ khôi phục, mã này được kích hoạt và truyền dữ liệu ví đến một tên miền do hacker kiểm soát. Vì lỗ hổng bảo mật hoạt động âm thầm, không có dấu hiệu cảnh báo rõ ràng nào được phát đi. Hiện tại, tên miền này đã bị gỡ bỏ.
Trust Wallet cho biết lỗ hổng này chỉ được phát hiện trên tiện ích mở rộng của trình duyệt Chrome, không ảnh hưởng đến các ứng dụng di động hoặc các blockchain khác. Phiên bản vá lỗi 2.69 đã được phát hành ngay sau đó.
Theo BlockBeats, Trust Wallet đã xác nhận khoảng 7 triệu USD đã bị đánh cắp. Nhóm cam kết hoàn tiền cho tất cả người dùng bị ảnh hưởng.
Người dùng nên làm gì?
Các chuyên gia bảo mật khuyến cáo bất kỳ ai đã tải và thao tác trên phiên bản 2.68 của Trust Wallet trong trình duyệt Chrome nên chuyển tài sản sang ví mới ngay lập tức, không bao giờ sử dụng lại cụm Seed Phrase đã bị lộ.
Giao diện ví Trust Wallet trên điện thoại
Nếu đã thao tác trên phiên bản 2.68 của Trust Wallet, người dùng cần làm theo các bước sau:
- Bước 1: Không mở tiện ích của Trust Wallet 2.68 trên các thiết bị máy tính để đảm bảo an ninh ví và ngăn chặn các vấn đề khác.
- Bước 2: Mở bảng điều khiển tiện ích mở rộng trong trình duyệt Chrome. Tìm đến Trust Wallet và chuyển sang chế độ “tắt”.
- Bước 3: Cập nhật phiên bản mới bằng cách nhấp vào “Chế độ nhà phát triển” ở góc trên bên phải > chọn “Cập nhật” lên phiên bản 2.69.
Ngoài ra, nếu bị mất tiền, người dùng cần báo cáo ngay cho nhà phát triển thông tin liên quan để có thể nhận được đền bù.
Cuộc tranh luận về ví tiền số trên trình duyệt
Vụ tấn công trị giá 7 triệu USD nhắm vào Trust Wallet cũng làm dấy lên cuộc tranh luận về ví điện tử trên trình duyệt. Thiết kế này mang lại tiện lợi nhưng cũng tiềm ẩn nhiều rủi ro, đặc biệt là trong quá trình cập nhật.
Nhiều chuyên gia bảo mật tiếp tục khuyến nghị người dùng có số dư lớn nên sử dụng ví phần cứng, loại ví lưu trữ khóa riêng tư ngoại tuyến thay vì ví trên trình duyệt.
Với người dùng Trust Wallet, đây có thể là thời khắc khó khăn nhưng nó cũng nhắc nhở cộng đồng về thực tế khắc nghiệt trong thế giới tiền mã hóa: Bản thân blockchain có thể an toàn nhưng phần mềm người dùng kết nối với công nghệ này lại là điểm yếu và thường xuyên xảy ra sự cố.
Theo báo cáo của Chainalysis, trong năm 2025, nạn trộm cắp tiền điện tử đã gây thiệt hại đến 6,75 tỉ USD. Số vụ xâm phạm ví cá nhân đã tăng vọt từ 64.000 vụ năm ngoái lên 158.000 vụ trong năm nay.
Nguồn: https://thanhnien.vn/dan-choi-tien-so-mat-7-trieu-usd-nghi-do-tien-ich-mo-rong-tren-google-chrome-185251227092622243.htm
