#钱包安全漏洞 Thấy vụ Trust Wallet này, điều đầu tiên thoáng qua trong đầu tôi là sự kiện The DAO năm 2016. Lúc đó cũng là lỗ hổng ở mức source code, cũng là xảy ra lúc không nên xảy ra—quanh Giáng sinh, khi hacker chính xác chọn được cửa sổ thời gian. Lịch sử thật giống nhau đến nỗi khó chịu.

Chiêu trò của Trust Wallet lần này tàn khốc hơn: 8 tháng 12 trinh sát, 22 tháng 12 cài backdoor, 25 tháng 12 bắt đầu chuyển tiền, cả nhịp độ được tính toán chặt chẽ. Kẻ tấn công trực tiếp thay đổi source code, sử dụng PostHog—một công cụ hợp pháp—làm vỏ bọc, lén lút vận chuyển cụm từ khôi phục qua trường thông báo lỗi. Về kỹ thuật chiến thuật mà nói, đây không phải tấn công chuỗi cung ứp thông thường, mà là ở mức APT—quyền hạn của developer có thể đã bị thất thểu từ lâu.

Tổn thất hơn 6 triệu đô la bản thân đã rất đáng sợ, nhưng điều gây sốc hơn là nó bóc mẽ ra một khó khăn cơ bản của bảo mật ví: không có thuật toán mã hóa nào có thể chặn được sự tấn công từ bên trong. Tôi đã trải qua rất nhiều sự cố bảo mật lớn nhỏ trong ngành coin qua những năm này, mỗi lần đều nghĩ "lần này chắc là lần cuối rồi", nhưng thực tế là, miễn là mecanisme cập nhật tập trung, thì rủi ro này luôn tồn tại. MetaMask, imToken, Exodus—những ví này đều trải qua những khoảnh khắc kinh hoàng tương tự.

Suy tư quan trọng là: một số nhà đầu tư vẫn đang hỏi "nâng cấp lên phiên bản 2.69 có an toàn không", tôi muốn nói là, câu hỏi đó bạn hỏi ngược rồi. Câu hỏi thực sự cần hỏi là, bạn còn muốn giao phó bao nhiêu lòng tin cho bên thứ ba? Những game thủ lão luyện thực sự quan tâm đến bảo mật, họ đã quay về sử dụng hardwallet hoặc ví tự quản lý từ lâu rồi. Tính mở cửa và dễ sử dụng của Trust Wallet từng là thế mạnh của nó, nhưng trước mặt APT, tất cả đều trở thành bề mặt tấn công.

Nếu bạn vẫn đang sử dụng ví mở rộng kiểu này, tôi khuyến nghị bạn ngay bây giờ nên làm ba việc: ngắt kết nối internet để kiểm tra ngay lập tức, xuất khóa cá nhân vào ví offline, rồi—cân nhắc xem liệu bạn có nên tái đánh giá lại phương án quản lý tài sản của mình không.