Vào ngày 25 tháng 12, nhiều người dùng tiền điện tử đã báo cáo các khoản rút tiền nhanh chóng và trái phép từ tiện ích mở rộng Trust Wallet trên trình duyệt, gây ra một cảnh báo cộng đồng ngay lập tức. Các báo cáo ban đầu xuất hiện qua nhà điều tra on-chain ZachXBT, người đã đánh dấu hàng trăm địa chỉ bị xâm phạm trên các chuỗi tương thích EVM, Bitcoin và Solana trong vòng hai giờ. Sự gia tăng đột ngột các khoản lỗ được báo cáo—ban đầu ước tính trên 6 triệu USD—đã kích hoạt các cảnh báo khẩn cấp trên Telegram và X, kêu gọi tất cả người dùng thu hồi phê duyệt và rút tiền.
Các nhà nghiên cứu cộng đồng nhanh chóng xác định phiên bản Trust Wallet Chrome extension 2.68 là yếu tố chung. Điều tra các tập tin JavaScript của tiện ích mở rộng cho thấy các bổ sung chưa được giải thích trong “4482.js” mà không có trong báo cáo cập nhật chính thức. Các đoạn mã nghi ngờ được che giấu dưới dạng các chức năng phân tích dữ liệu, nhưng thực chất có thể ghi lại seed phrase, gửi chúng đến metrics-trustwallet[.]com, và sau đó rút tiền khỏi ví tự động khi nhập seed phrase. Mã độc hại này chỉ kích hoạt cho các sự kiện nhập ví, tránh bị phát hiện sớm.
Phân tích theo chuỗi sau đó đã truy dấu hơn 6 triệu USD tài sản bị đánh cắp được đổ vào các mixer quyền riêng tư và dịch vụ làm tối danh tính, nhấn mạnh ý định của kẻ tấn công là rửa tiền nhanh chóng. Các địa chỉ nạn nhân gồm tài khoản multisig nội bộ, ví cá nhân có giá trị cao, và cả những người bán lẻ nhỏ, cho thấy sự dễ bị tổn thương của ví dựa trên trình duyệt đối với tấn công chuỗi cung ứng. Các giao dịch rút tiền từ các mixer lớn như Tornado Cash và Wasabi Wallet cũng được quan sát thấy, cho thấy các chiến lược rửa tiền phối hợp.
Sau sự xem xét công khai, Trust Wallet đã phát hành một lời khuyên bảo mật chính thức thừa nhận một sự cố bảo mật chỉ ảnh hưởng đến phiên bản mở rộng 2.68. Lời khuyên đề nghị vô hiệu hóa ngay tiện ích mở rộng, nâng cấp lên phiên bản 2.69 từ Chrome Web Store chính thức, và tránh nhập seed phrase vào các môi trường trình duyệt. Người dùng di động và không dùng Chrome được cho là không bị ảnh hưởng. Trust Wallet nhấn mạnh rằng vi phạm này không ảnh hưởng đến ứng dụng di động lõi hoặc các hợp đồng thông minh trên chuỗi.
Sự cố đã thổi bùng cuộc tranh luận về rủi ro tự quản lý tài sản và an ninh vận hành. Các chuyên gia nhắc lại rằng môi trường quản lý khóa là cực kỳ quan trọng như các giao thức mật mã, và tính toàn vẹn của chuỗi cung ứng phải được thực thi bởi cả nhà cung cấp ví và các chợ trình duyệt. Ngay lập tức, các nhà nghiên cứu an ninh khuyến cáo người dùng bị ảnh hưởng nên di chuyển phần còn lại tài sản sang ví mới được tạo trên các thiết bị an toàn, được cách ly khỏi mạng (air-gapped), thu hồi mọi phê duyệt dApp và theo dõi hoạt động mạng để phát hiện các tương tác đáng ngờ.
Trong bối cảnh vụ tấn công, các lời kêu gọi chuẩn hóa thẩm tra tiện ích mở rộng, công khai minh bạch nhật ký thay đổi và các cuộc kiểm toán độc lập ngày càng lớn tiếng hơn. Các công ty an ninh blockchain và các nhóm kiểm toán mã nguồn mở đang hợp tác trên công cụ để phát hiện mã phía client bất thường trong các tiện ích ví phổ biến. Hiện tại, vụ việc Trust Wallet là một ví dụ rõ ràng về cách mà các lỗ hổng chuỗi cung ứng có thể làm suy yếu cam kết kiểm soát tài sản tự chủ, kêu gọi cộng đồng ưu tiên bảo mật toàn diện từ thiết kế đến phân phối ví.
Bình luận (0)