#钱包安全风险与攻击事件 Vào sáng ngày Giáng sinh, phiên bản 2.68 của tiện ích mở rộng trình duyệt Trust Wallet đã bị tấn công. Hơn 6 triệu USD tài sản đã bị cuốn đi trong vòng vài giờ, trong đó ví bị thiệt hại nặng nhất mất 3,5 triệu USD, và ví này đã không hoạt động suốt một năm — hacker thậm chí không bỏ qua ví đang ngủ.

Sau khi xem phân tích kỹ thuật của SlowFog, tôi đi đến kết luận: đây không phải là một vụ nhiễm mã độc từ bên thứ ba bình thường, mà là một cuộc tấn công chuyên nghiệp cấp APT. Kẻ tấn công có thể đã có quyền truy cập phát triển hoặc quyền triển khai từ ngày 8 tháng 12, rồi trực tiếp cấy mã hậu sau vào mã nguồn, sử dụng các công cụ hợp pháp như PostHog để lén gửi seed phrase của người dùng về máy chủ độc hại.

Sự việc này để lại trong tôi những cảnh báo sâu sắc:

**Thứ nhất, ví mở rộng trình duyệt luôn là khu vực rủi ro cao.** Nó giống như đặt private key ở nơi mở, chỉ cần ai đó kiểm soát được mã nguồn, mọi thứ của bạn đều xong. Nguyên tắc của tôi hiện nay là, tôi dùng tiện ích mở rộng trình duyệt để xem số dư và tương tác hợp đồng, còn không bao giờ dùng để lưu trữ số lượng lớn tài sản lâu dài.

**Thứ hai, số phiên bản không nói dối.** Khi có bản cập nhật mới, đừng chần chừ, nhưng cũng đừng cập nhật một cách mù quáng. Phản ứng của đội ngũ chính thức của Trust Wallet khá nhanh, khi phiên bản 2.69 ra mắt, tôi lập tức cập nhật. Trong số những người bị thiệt hại lần này, nhiều người vẫn dùng phiên bản 2.68, đó là bài học đắt giá.

**Thứ ba, tàn nhẫn nhất là, ngay cả khi ví của bạn đã ngủ hai năm, hacker vẫn có thể đào mộ của bạn.** Điều này cho thấy gì? Rằng phòng ngừa an ninh không phải là chuyện làm một lần rồi xong. Bạn cần kiểm tra định kỳ, cập nhật định kỳ, thậm chí xem xét di chuyển tài sản.

Hiện tại, Trust Wallet đã bắt đầu quy trình bồi thường, nhưng đó không phải là điểm chính. Điểm mấu chốt là để sống lâu dài, bạn phải cẩn trọng hơn cả hacker. Nếu bạn vẫn còn dùng ví mở rộng trình duyệt để lưu trữ số tiền lớn, thì giờ chính là lúc hành động.