Trust Wallet xác nhận lỗ hổng mở rộng trình duyệt: Hơn $6 triệu bị rút trong dịp Giáng sinh

Trust Wallet chính thức xác nhận có một lỗ hổng bảo mật trong phiên bản 2.68 của tiện ích mở rộng trình duyệt Chrome, dẫn đến việc rút tiền trái phép tổng cộng hơn $6 triệu đô la từ người dùng bị ảnh hưởng vào ngày Giáng sinh.

Công ty nhấn mạnh rằng chỉ có phiên bản tiện ích mở rộng này bị ảnh hưởng, trong khi ứng dụng di động và các phiên bản tiện ích mở rộng khác vẫn an toàn.

(Nguồn: X)

Chi tiết vụ việc và phản ứng ngay lập tức

Lỗ hổng lần đầu tiên được phát hiện bởi nhà điều tra on-chain ZachXBT vào ngày 25 tháng 12, người đã báo cáo việc rút tiền nhanh chóng từ nhiều người dùng Trust Wallet ngay sau một bản cập nhật tiện ích mở rộng gần đây.

Trust Wallet nhanh chóng xác nhận vấn đề trên mạng xã hội, kêu gọi người dùng ngay lập tức vô hiệu hóa phiên bản 2.68 và nâng cấp lên phiên bản mới nhất (phiên bản 2.69).

Nhóm cho biết đang tiến hành điều tra tích cực, hứa hẹn cập nhật thêm khi có thông tin mới. Nguyên nhân kỹ thuật chính xác vẫn chưa được tiết lộ.

Phân tích của ZachXBT cho thấy các hacker đã khai thác lỗ hổng để truy cập trực tiếp vào ví, thực hiện các giao dịch trái phép. Hơn $4 triệu đô la tiền bị đánh cắp đã được chuyển đến các sàn tập trung, có thể thông qua các khoản vay flash để che giấu dấu vết.

Hàng trăm người dùng dường như đã bị ảnh hưởng, đánh dấu một trong những vụ khai thác liên quan đến tiện ích mở rộng lớn nhất trong thời gian gần đây.

Hướng dẫn người dùng và khuyến nghị bảo mật

Trust Wallet đã đưa ra các bước an toàn rõ ràng:

• Vô hiệu hóa và gỡ bỏ ngay phiên bản 2.68 của tiện ích trình duyệt.
• Nâng cấp lên phiên bản đã vá lỗi để tiếp tục sử dụng.
• Cân nhắc chuyển tài sản sang ứng dụng di động, vốn cung cấp xác thực sinh trắc học và không bị ảnh hưởng.
• Theo dõi hoạt động ví chặt chẽ để phát hiện các giao dịch đáng ngờ.

Công ty nhấn mạnh rằng ứng dụng di động vẫn an toàn và đề xuất sử dụng nền tảng này trong tương lai.

Bối cảnh rộng hơn và tiền lệ lịch sử

Sự cố này gợi nhớ một lỗ hổng trước đó của Trust Wallet vào tháng 11 năm 2022 liên quan đến mã WebAssembly, dẫn đến thiệt hại khoảng 170.000 đô la. Công ty đã hoàn trả đầy đủ cho người dùng bị ảnh hưởng vào thời điểm đó.

Lỗ hổng hiện tại lớn hơn nhiều về quy mô, đặt ra câu hỏi về khả năng bồi thường. Tính đến ngày 26 tháng 12 năm 2025, Trust Wallet chưa công bố kế hoạch hoàn trả nào, mặc dù cộng đồng đang tăng cường gây áp lực để làm rõ.

Sự kiện này nhấn mạnh các rủi ro liên tục liên quan đến ví dựa trên trình duyệt, đặc biệt là các lỗ hổng do cập nhật gây ra. Nó cũng làm nổi bật mức độ tinh vi của các hacker hiện đại nhắm vào các công cụ tự quản lý phổ biến.

Ảnh hưởng đối với ngành công nghiệp

Vụ khai thác này là một lời nhắc nhở rõ ràng về tầm quan trọng của việc cập nhật kịp thời, đa dạng hóa tài sản trên các nền tảng và giám sát giao dịch cẩn thận.

Khi các ví phi tập trung ngày càng phổ biến, các sự cố như vậy dự kiến sẽ làm tăng sự chú ý đến các thực hành bảo mật trong ngành—có thể thúc đẩy nhanh hơn các yêu cầu về kiểm toán, quy trình cập nhật và giáo dục người dùng.

Trust Wallet vẫn đang tiếp tục điều tra và cam kết minh bạch khi tình hình phát triển. Người dùng được khuyên nên cảnh giác và theo dõi các kênh chính thức để cập nhật hướng dẫn mới nhất.