Nhà điều tra trên chuỗi ZachXBT phát đi cảnh báo khẩn cấp vào ngày 2 tháng 4: liên kết ngắn chính thức trên Discord của Trust Wallet discord[.]gg/trustwallet đã bị kẻ tấn công chiếm quyền, hiện đang trỏ tới một máy chủ lừa đảo phishing độc hại. ZachXBT đặc biệt nhắc người dùng rằng nên tránh tham gia bất kỳ cộng đồng Discord nào thông qua các liên kết do mọi kênh chính thức cung cấp cho đến khi vấn đề được giải quyết.
Cảnh báo bị chiếm quyền Discord: Các biện pháp phòng vệ khẩn cấp mà người dùng cần thực hiện ngay
(Nguồn: ZachXBT)
Liên kết ngắn Discord chính thức của Trust Wallet đã bị chiếm quyền, điều đó có nghĩa là tất cả người dùng từng đặt liên kết này làm dấu trang, hoặc có được liên kết thông qua bất kỳ kênh chính thức hay không chính thức nào, sau khi bấm vào đều có thể bị chuyển tới máy chủ phishing giả mạo cộng đồng Trust Wallet.
Các mẫu tấn công phổ biến của máy chủ phishing bao gồm: giả mạo là quản trị viên chính thức yêu cầu người dùng gửi seed phrase (Seed Phrase) hoặc khóa riêng; gửi “thông báo an ninh chính thức” chứa liên kết độc hại; và mô phỏng lời nhắc nâng cấp khẩn cấp của Trust Wallet để dụ người dùng thao tác. Hiện tại, người dùng cần thực hiện ngay các bước sau:
Dừng bấm mọi liên kết hiện có: Dù nguồn là trang web chính thức của Trust Wallet, Telegram, blog hay bất kỳ kênh bên thứ ba nào, chỉ thông qua ứng dụng hoặc tài khoản X đã được xác minh để lấy các thông báo bảo mật mới nhất và các liên kết đúng
Chờ xác nhận từ phía chính thức: Trước khi Trust Wallet công bố rằng liên kết Discord đã khôi phục an toàn, không nên tham gia lại
Nếu đã nhập bất kỳ thông tin nhạy cảm nào: Hãy chuyển tài sản sang ví mới ngay lập tức và tạo lại seed phrase
Phòng chống đầu độc địa chỉ: bao phủ toàn diện 32 chuỗi EVM
Cũng trong ngày sự việc chiếm quyền Discord bùng nổ, Trust Wallet tuyên bố triển khai tính năng phòng chống tức thời đối với các cuộc tấn công đầu độc địa chỉ, đồng thời gửi cho người dùng một giao diện bổ sung cơ chế sàng lọc chủ động: hệ thống sẽ tự động đối chiếu dữ liệu đối với địa chỉ mục tiêu trong cơ sở dữ liệu; ngay khi trúng các địa chỉ lừa đảo đã biết hoặc các địa chỉ giả mạo có hình thức tương tự, hệ thống sẽ nhắc người dùng chặn các giao dịch độc hại tiềm ẩn ngay lập tức.
Phạm vi hỗ trợ ban đầu bao gồm 32 blockchain tương thích EVM, trong đó có các mạng phổ biến như Ethereum, BNB Smart Chain, Polygon, Optimism, Arbitrum, Avalanche và Base.
Theo dữ liệu của Trust Wallet, cuộc tấn công đầu độc địa chỉ hiện đã xảy ra hơn 225 triệu lần, xác nhận mức thiệt hại lên tới 500 triệu USD. Trong hai vụ việc lớn gần đây, một nhà đầu tư đã mất 50 triệu USD USDT vào tháng 12 năm 2025; hai nhà đầu tư khác tổng cộng mất 62 triệu USD. Những khoản lỗ này khiến cựu CEO Binance là Zhao Changpeng (CZ) công khai chỉ trích rằng: “Tất cả các ví nên đơn giản kiểm tra xem địa chỉ nhận có phải là địa chỉ độc hại hay không và khóa người dùng; đây chỉ là một truy vấn trên blockchain.”
Chuỗi thách thức bảo mật của Trust Wallet kể từ năm 2025
Sự việc chiếm quyền Discord lần này không phải là hiện tượng đơn lẻ. Ngày 24 tháng 12 năm 2025, tiện ích mở rộng trình duyệt Chrome của Trust Wallet đã bị tấn công, khiến người dùng thiệt hại khoảng 7 triệu USD; Trust Wallet khẩn cấp phát hành phiên bản sửa lỗi và cam kết bồi thường cho người dùng bị ảnh hưởng. Hiện nay, các sản phẩm cạnh tranh như Rabby Wallet, Zengo Wallet và Phantom Wallet đã cung cấp chức năng lọc trước các giao dịch độc hại tương tự; việc Trust Wallet lần này ra mắt tính năng phòng chống đầu độc địa chỉ là phản hồi trực tiếp trước áp lực của ngành.
Câu hỏi thường gặp
Sau khi Discord của Trust Wallet bị chiếm quyền thì làm thế nào để lấy an toàn liên kết đúng của cộng đồng?
Cho đến khi Trust Wallet xác nhận rằng liên kết Discord đã khôi phục an toàn, khuyến nghị nên lấy liên kết mời Discord mới nhất thông qua trang chính thức trong ứng dụng Trust Wallet, hoặc thông qua tài khoản X (Twitter) chính thức của Trust Wallet đã được xác minh. Tránh sử dụng bất kỳ liên kết cũ đã lưu nào hoặc liên kết đến từ kênh của bên thứ ba.
Cuộc tấn công đầu độc địa chỉ hoạt động cụ thể như thế nào, người dùng nên phòng tránh ra sao?
Kẻ tấn công trước tiên gửi các giao dịch giá trị nhỏ cho nạn nhân, khiến địa chỉ lừa đảo xuất hiện trong lịch sử giao dịch của nạn nhân; khi nạn nhân chuyển tiền lần sau, họ có thể sao chép địa chỉ độc hại có hình thức tương tự này từ lịch sử, dẫn đến việc tiền bị chuyển vào tài khoản của kẻ tấn công. Cách phòng tránh: luôn nhập thủ công địa chỉ hoặc sao chép từ các địa chỉ đáng tin cậy, tuyệt đối không sao chép địa chỉ từ lịch sử giao dịch và đảm bảo dùng phiên bản ví đã có chức năng sàng lọc địa chỉ.
Sự kiện bảo mật năm 2025 của tiện ích mở rộng Trust Wallet trên Chrome đã được giải quyết hoàn toàn chưa?
Sau cuộc tấn công vào ngày 24 tháng 12 năm 2025 đối với tiện ích mở rộng, Trust Wallet đã phát hành phiên bản mới nhằm xóa mã độc hại và cam kết bồi thường cho người dùng bị ảnh hưởng. Khuyến nghị tất cả người dùng xác nhận tiện ích mở rộng của Trust Wallet đã được cập nhật lên phiên bản mới nhất, và xác minh tính hợp pháp của nguồn thông qua trang chính thức trên Chrome Web Store.
Tuyên bố miễn trừ trách nhiệm: Thông tin trên trang này có thể đến từ bên thứ ba và không đại diện cho quan điểm hoặc ý kiến của Gate. Nội dung hiển thị trên trang này chỉ mang tính chất tham khảo và không cấu thành bất kỳ lời khuyên tài chính, đầu tư hoặc pháp lý nào. Gate không đảm bảo tính chính xác hoặc đầy đủ của thông tin và sẽ không chịu trách nhiệm cho bất kỳ tổn thất nào phát sinh từ việc sử dụng thông tin này. Đầu tư vào tài sản ảo tiềm ẩn rủi ro cao và chịu biến động giá đáng kể. Bạn có thể mất toàn bộ vốn đầu tư. Vui lòng hiểu rõ các rủi ro liên quan và đưa ra quyết định thận trọng dựa trên tình hình tài chính và khả năng chấp nhận rủi ro của riêng bạn. Để biết thêm chi tiết, vui lòng tham khảo
Tuyên bố miễn trừ trách nhiệm.
