Tổng quan
Trust Wallet xác nhận rằng một cuộc tấn công chuỗi cung ứng thông qua một bản cập nhật tiện ích Chrome bị xâm phạm đã dẫn đến tổn thất khoảng 8,5 triệu USD. Một khóa API của Google Chrome Web Store bị rò rỉ cho phép kẻ tấn công tải lên một phiên bản độc hại của phần mở rộng trình duyệt Trust Wallet trực tiếp lên Web Store chính thức, bỏ qua xem xét mã và kiểm tra bảo mật.
Chi tiết vụ tấn công
- Giai đoạn tấn công: 24–26 tháng 12 năm 2025
- Phiên bản tiện ích mở rộng: 2.68
- Số nạn nhân: 2.520 địa chỉ ví
- Phương thức: Mã độc bị ngụy trang như lưu lượng phân tích cho một tên miền giả metrics-trustwallet[.]com
Phân tích kỹ thuật
Danh mục tấn công chuỗi cung ứng: Chiếm đoạt khóa. Không giống như các khai thác hợp đồng thông minh điển hình, sự cố này nhắm vào cơ chế phân phối. Thông tin xác thực riêng tư được sử dụng để xuất bản tiện ích mở rộng bị lộ, cho phép chèn mã rò rỉ dữ liệu vào chu trình phát hành. Không có lỗ hổng trên chuỗi được khai thác; người dùng cuối bị nhắm mục tiêu qua hạ tầng tin cậy.
Biện pháp đối phó
- Thu hồi ngay các thông tin xác thực API bị xâm phạm.
- Quay lại phiên bản tiện ích an toàn 2.69.
- Áp dụng quản lý khóa phát hành nâng cao và xác thực nhiều yếu tố trên hệ thống triển khai.
- Đề nghị bồi thường cho mọi nạn nhân đủ điều kiện, bao gồm toàn bộ thiệt hại.
Hệ lụy đối với ngành
Những yếu tố hạ tầng then chốt như khóa phân phối đại diện cho một điểm lỗi duy nhất. Ví Wallet dựa trên tiện ích mở rộng nên áp dụng xoay vòng thông tin xác thực nghiêm ngặt, giám sát tài khoản nhà phát hành và ký mã ngoài kênh để giảm thiểu rủi ro tương tự. Các nhóm an ninh cần xem xét các vectors chuỗi cung ứng với cùng ưu tiên như kiểm toán hợp đồng thông minh.
Khuyến nghị người dùng
Người dùng đã cài đặt phiên bản 2.68 phải coi là bị xâm phạm, chuyển tiền đến ví mới được tạo trên thiết bị an toàn và tái tạo lại cụm từ seed. Việc xác nhận phiên bản tiện ích và cập nhật lên v2.69 hoặc cao hơn là bắt buộc. Yêu cầu được bồi thường nên được gửi thông qua các kênh hỗ trợ Trust Wallet chính thức.
Bình luận (0)