Tổng quan sự cố
Vào ngày 26 tháng 12 năm 2025, đã xuất hiện các báo cáo cho thấy có hàng loạt rút tiền trái phép từ tiện ích mở rộng trình duyệt Chrome của Trust Wallet, phiên bản 2.68. Chỉ trong vòng vài giờ sau một cập nhật định kỳ, kẻ tấn công đã triển khai mã độc bên trong tiện ích mở rộng, âm thầm thu thập các cụm từ seed và khóa riêng. Các nạn nhân cho biết rút tiền đột ngột trên nhiều chuỗi, với phân tích on-chain ban đầu cho thấy thiệt hại khoảng 7 triệu USD.
Vector tấn công và Dòng thời gian
- Ngày 24 tháng 12 năm 2025: Phiên bản 2.68 được phát hành trên Chrome Web Store.
- Ngày 26 tháng 12 năm 2025, 00:15 UTC: Nhà điều tra blockchain ZachXBT cảnh báo cộng đồng sau khi quan sát các luồng tiền nhanh chóng từ các ví đa dạng.
- Ngày 26 tháng 12 năm 2025, 02:00 UTC: PeckShield xác nhận rút cắp trên hơn 6 triệu USD, với khoảng 40% tài sản bị đánh cắp được rửa qua các sàn giao dịch tập trung.
- Ngày 26 tháng 12 năm 2025, 04:30 UTC: Trust Wallet phát hành cảnh báo vô hiệu hóa phiên bản 2.68 và cập nhật lên phiên bản vá 2.69.
- Ngày 26 tháng 12 năm 2025, 07:42 UTC: Trust Wallet xác nhận tổng thiệt hại khoảng 7 triệu USD và cam kết bồi thường đầy đủ cho người dùng.
Phân tích kỹ thuật
Những kẻ tấn công đã nhúng một cửa hậu chuỗi cung ứng bằng cách chèn công cụ giám sát PostHog JS vào các tập lệnh lõi của tiện ích mở rộng. Điều này cho phép rò rỉ dữ liệu seed đã giải mã và dữ liệu khóa riêng tới một điểm cuối độc hại theo thời gian thực. Phân cụm trên chuỗi cho thấy tài sản bị đánh cắp được chia vào giữa Bitcoin, Ethereum, Solana và các token tương thích với EVM khác, với lợi nhuận được gom vào một tập hợp nhỏ các địa chỉ rút tiền trước khi phân phối cho các sàn để đổi sang tiền pháp định.
Biện pháp giảm thiểu và ứng phó
Trust Wallet đã phát hành phiên bản 2.69, loại bỏ mã độc và đổi các chữ ký quan trọng được sử dụng trong cập nhật tiện ích mở rộng. Người dùng bị ảnh hưởng được khuyến cáo thu hồi quyền cấp cho tiện ích mở rộng, chuyển phần còn lại sang ví mới và bật xác thực hai yếu tố ở nơi có. Người sáng lập Binance, Changpeng Zhao (CZ), đã công khai cam kết bồi thường theo quỹ SAFU. Các công ty an ninh độc lập đang rà soát mã nguồn và giám sát các lỗ hổng còn tồn tại.
Những tác động rộng hơn
Vụ việc này nhấn mạnh rủi ro tăng lên đối với các tiện ích ví dựa trên trình duyệt. Không giống như ví phần cứng hoặc khách hàng để bàn độc lập, các tiện ích mở rộng trình duyệt hoạt động trong ngữ cảnh bảo mật của trình duyệt, làm tăng diện tấn công. Các chuyên gia khuyến nghị sử dụng ví phần cứng hoặc các giải pháp account abstraction (giải pháp trừu tượng hóa tài khoản) để thực thi các giới hạn thời gian giao dịch và yêu cầu phê duyệt người dùng rõ ràng cho các thay đổi ở cấp mã.
Những bài học chính
- Rủi ro chuỗi cung ứng có thể chèn mã độc trực tiếp vào các cập nhật phần mềm hợp lệ.
- Thông báo nhanh chóng và triển khai vá nhanh, kết hợp với cam kết bồi thường công khai, là rất quan trọng để kiểm soát thiệt hại.
- Môi trường tiện ích mở rộng trình duyệt vẫn còn dễ bị tấn công; người dùng nên cân nhắc sử dụng ví phần cứng hoặc các giải pháp chữ ký đa chữ ký (multi-sig) cho lượng nắm giữ lớn.
Bình luận (0)