Lỗi nghiêm trọng của tiện ích mở rộng Trust Wallet: làm thế nào $6 triệu đô la trong crypto gặp nguy hiểm và tại sao phiên bản 2.69 trở thành cấp bách

Chuyện gì đã xảy ra: Các nhà nghiên cứu blockchain và người dùng trong tuần này đã ghi nhận một vụ mất tiền hàng loạt liên quan đến một phiên bản của tiện ích mở rộng trình duyệt của ví không lưu ký phổ biến. Theo ước tính ban đầu của các nhà phân tích, thiệt hại đã vượt quá $6 triệu đô la trên các blockchain khác nhau, và số ví bị ảnh hưởng đã lên tới hàng trăm. Công ty đã phản ứng nhanh chóng bằng cách xóa bỏ phiên bản gặp lỗi và phát hành bản vá quan trọng.

Tiện ích mở rộng Trust Wallet: khi an ninh trở nên dễ tổn thương

Công ty chính thức thông báo đã phát hiện ra lỗ hổng bảo mật nghiêm trọng ảnh hưởng duy nhất đến phiên bản 2.68 của Browser Extension. Vấn đề đã buộc phải tắt khẩn cấp tiện ích mở rộng và triển khai cập nhật lên phiên bản 2.69, có sẵn qua Chrome Web Store chính thức.

Điều đáng chú ý là, thiếu sót này không ảnh hưởng đến:

• Người dùng phiên bản di động của ví
• Người dùng desktop với các phiên bản tiện ích mở rộng khác
• Cơ sở hạ tầng chính của nền tảng

Công ty đã hướng dẫn người dùng ngay lập tức ngừng sử dụng phiên bản 2.68 và không mở tiện ích mở rộng cho đến khi cài đặt bản vá.

Kẻ trộm lấy tiền ngay sau khi xác thực

Dấu hiệu đầu tiên về vấn đề đến từ các nhà nghiên cứu độc lập, họ phát hiện các chuyển động bất thường của tài sản từ các người dùng gần đây đã tương tác với tiện ích mở rộng trên Chrome. Những người bị ảnh hưởng cho biết, tiền của họ đã bị rút ngay lập tức sau khi xác thực giao dịch trong tiện ích.

Các vụ trộm đã bao gồm nhiều blockchain:

• Ethereum và các mạng tương thích EVM
• Solana
• Bitcoin

Thời điểm gần như đồng bộ giữa việc phát hành phiên bản 2.68 và hoạt động trộm cắp cho thấy có mối liên hệ trực tiếp. Mặc dù Trust Wallet không công bố số tiền chính xác, các nhà nghiên cứu đã phát hiện khoảng một trăm tài khoản có các khoản chi tiêu bất thường.

Nghi ngờ về việc bị xâm phạm trong chuỗi phân phối

Các chuyên gia an ninh mạng đưa ra giả thuyết về khả năng mã độc đã được đưa vào trong quá trình phát triển hoặc phân phối phiên bản 2.68. Nếu kẻ tấn công thành công ảnh hưởng đến giai đoạn thu thập hoặc phân phối tiện ích mở rộng, họ có thể đã truy cập vào các thao tác quan trọng của ví — như ký giao dịch hoặc xác nhận phiên.

Giả thuyết này phù hợp với các chuyển khoản ẩn danh mà người dùng đã quan sát thấy đến các địa chỉ không rõ, không có các bất thường khác. Trust Wallet đã thông báo bắt đầu điều tra và hứa sẽ công bố các kết luận chi tiết hơn sau.

Các bước cần thực hiện cho người dùng

Ví đề xuất các biện pháp khẩn cấp:

• Tắt tiện ích Trust Wallet trong Chrome
• Kích hoạt chế độ nhà phát triển
• Buộc nâng cấp lên phiên bản 2.69
• Xác nhận số phiên bản trước khi tiếp tục sử dụng

Công ty nhấn mạnh tầm quan trọng của việc tải cập nhật chỉ qua cửa hàng Chrome chính thức, không qua các nguồn thay thế.

Lỗ hổng hệ thống trong thế giới ví tiền điện tử

Tình huống này cho thấy một vấn đề sâu xa hơn: ngay cả các ví không lưu ký cũng có thể trở thành mục tiêu nếu các kênh phân phối của chúng bị xâm phạm. Các tiện ích mở rộng trình duyệt đặc biệt có rủi ro:

• Truy cập trực tiếp vào khóa riêng và yêu cầu xác nhận
• Hoạt động trong môi trường dễ bị lừa đảo và mã độc
• Yêu cầu cập nhật thường xuyên, mở rộng khả năng tấn công

Khác với các lỗ hổng trong hợp đồng thông minh, việc xâm phạm ví không có cơ chế bảo vệ on-chain, và thiệt hại là không thể hoàn tác. Với hơn 220 triệu người dùng trên toàn thế giới, ngay cả một phiên bản bị ảnh hưởng hạn chế cũng sẽ gây ra ảnh hưởng lâu dài về uy tín.