-
09/04/2020
-
122
-
1.457 bài viết
Đêm Giáng sinh kinh hoàng: Hơn 7 triệu USD bitcoin bốc hơi qua Trust Wallet
Một bản cập nhật tưởng như bình thường phát hành đúng đêm Giáng sinh đã trở thành khởi đầu cho một trong những sự cố nghiêm trọng nhất nhắm vào ví tiền điện tử trong năm 2025. Chỉ trong vài giờ sau khi bản cập nhật được tung ra, hàng trăm người dùng Trust Wallet phát hiện ví của mình bị rút sạch, gây thiệt hại hơn 7 triệu USD.
Nhà điều tra blockchain ZachXBT là một trong những người đầu tiên phát hiện dấu hiệu bất thường, khi ghi nhận sự gia tăng đột biến các giao dịch trái phép từ nhiều ví khác nhau. Một số nạn nhân cho biết họ mất hàng trăm nghìn USD chỉ trong vài phút, có trường hợp thiệt hại lên tới 300.000 USD.
CEO Trust Wallet, Eowyn Chen, xác nhận phiên bản 2.68.0 không được phát hành qua quy trình nội bộ mà có thể bị công bố bên ngoài thông qua một khóa API Chrome Web Store bị rò rỉ, vượt qua các bước kiểm duyệt chuẩn. Bản cập nhật độc hại này được phát hành ngày 24/12/2025 lúc 12:32 UTC.
Tên miền đáng ngờ được phát hiện trong phiên bản tiện ích mở rộng bị xâm nhập 2.68.0 (@0xakinator trên X)
Mã này giả vờ là công cụ phân tích hành vi nhưng thực chất theo dõi hoạt động ví và kích hoạt khi người dùng nhập seed phrase. Tên miền này mới được đăng ký vài ngày trước và hiện đã bị registrar (NiceNIC) đình chỉ sau khi sự việc được phát hiện.
Phân tích lưu lượng mạng cho thấy rõ hành vi rò rỉ seed phrase ra bên ngoài. Công ty bảo mật SlowMist đánh giá đây là một cuộc tấn công chuỗi cung ứng, trong đó kẻ tấn công chèn mã độc ngay trong quá trình phát triển hoặc phân phối phần mềm, lợi dụng cơ chế cập nhật tự động để qua mặt người dùng.
Lưu lượng mạng cho thấy seed phrase của ví bị đánh cắp (Andrew Mohawk trên X)
Sự xuất hiện của một endpoint bên ngoài mới đăng ký trong extension là cực kỳ bất thường vì extension có quyền truy cập sâu vào dữ liệu nhạy cảm. Nhà nghiên cứu Andrew Mohawk sau đó xác nhận đây chính là điểm rò rỉ seed phrase và thông tin ví. WHOIS xác nhận tên miền này không thuộc quyền kiểm soát công khai của Trust Wallet.
Tên miền "fix-trustwallet[.]com" đáng ngờDữ liệu WHOIS cho thấy các tên miền phishing sử dụng cùng nhà đăng ký với metrics-trustwallet[.]com, gợi ý rằng đây là một chiến dịch có tổ chức, do cùng nhóm thực hiện với vụ chèn mã độc vào extension.
Trong nỗ lực ngăn chặn tin tặc, Trust Wallet vô hiệu hóa tất cả các API phát hành, chặn mọi cố gắng tung ra phiên bản mới trong hai tuần tiếp theo, đồng thời báo cáo tên miền rò rỉ tới NiceNIC, khiến kẻ tấn công không thể tiếp tục đánh cắp dữ liệu. Trước áp lực từ cộng đồng, nhà sáng lập Binance là Changpeng Zhao, cũng lên tiếng trấn an, cam kết bồi thường cho các nạn nhân và khẳng định sẽ tăng cường kiểm soát an ninh nội bộ.
Tính đến thời điểm này, Trust Wallet xác nhận 2.596 ví bị ảnh hưởng, trong khi họ nhận khoảng 5.000 yêu cầu bồi thường. Con số này cho thấy không ít yêu cầu giả hoặc trùng lặp, buộc đội ngũ phải xác minh cẩn thận quyền sở hữu ví trước khi hoàn trả tài sản.
Để bảo vệ tài sản, công ty hướng dẫn người dùng không mở extension nếu chưa cập nhật, truy cập bảng quản lý Chrome extension từ đường dẫn chính thức, tắt extension đang bật, bật chế độ Developer mode và cập nhật thủ công lên phiên bản 2.69. Những người nghi ngờ bị ảnh hưởng được khuyến nghị chuyển toàn bộ tài sản sang ví mới với seed phrase mới, tuyệt đối không dùng lại seed phrase cũ. Đồng thời, Trust Wallet cảnh báo về các tài khoản giả mạo trên Telegram, quảng cáo giả mạo và những form bồi thường lừa đảo, nhấn mạnh sự cảnh giác là yếu tố sống còn trong thời khủng hoảng.
Sự cố này thực chất là phép thử cho năng lực bảo mật và cam kết bảo vệ người dùng của các nền tảng ví phổ biến. Các nhà phát triển buộc phải siết chặt quy trình kiểm soát nội bộ cũng như cơ chế phân phối phần mềm để đảm bảo an toàn cho cộng đồng. Việc chủ động hoàn thiện các biện pháp an ninh sẽ là tiền đề quan trọng để xây dựng một hệ sinh thái tài sản số minh bạch và vững chắc hơn trong tương lai.
Tiền “bốc hơi” sau một cú click quen thuộc
Ngày 24/12, hàng loạt người dùng Trust Wallet bắt đầu phản ánh trên mạng xã hội rằng ví của họ bị rút sạch tiền ngay sau khi thực hiện các thao tác thông thường như xác thực hoặc import seed phrase (cụm từ bí mật giống như chìa khóa chính của ví) trên tiện ích Chrome. Các tài sản bị mất trải rộng từ Ethereum, Bitcoin, Solana cho tới BNB.Nhà điều tra blockchain ZachXBT là một trong những người đầu tiên phát hiện dấu hiệu bất thường, khi ghi nhận sự gia tăng đột biến các giao dịch trái phép từ nhiều ví khác nhau. Một số nạn nhân cho biết họ mất hàng trăm nghìn USD chỉ trong vài phút, có trường hợp thiệt hại lên tới 300.000 USD.
CEO Trust Wallet, Eowyn Chen, xác nhận phiên bản 2.68.0 không được phát hành qua quy trình nội bộ mà có thể bị công bố bên ngoài thông qua một khóa API Chrome Web Store bị rò rỉ, vượt qua các bước kiểm duyệt chuẩn. Bản cập nhật độc hại này được phát hành ngày 24/12/2025 lúc 12:32 UTC.
Mã độc ẩn trong bản cập nhật chính thức
Chỉ vài giờ sau khi sự cố xảy ra, các nhà nghiên cứu bảo mật phát hiện mã độc trong Chrome extension 2.68.0 của Trust Wallet. Một file JavaScript nén tên 4482.js âm thầm gửi dữ liệu nhạy cảm từ ví người dùng ra máy chủ api.metrics-trustwallet[.]com.Tên miền đáng ngờ được phát hiện trong phiên bản tiện ích mở rộng bị xâm nhập 2.68.0 (@0xakinator trên X)
Mã này giả vờ là công cụ phân tích hành vi nhưng thực chất theo dõi hoạt động ví và kích hoạt khi người dùng nhập seed phrase. Tên miền này mới được đăng ký vài ngày trước và hiện đã bị registrar (NiceNIC) đình chỉ sau khi sự việc được phát hiện.
Phân tích lưu lượng mạng cho thấy rõ hành vi rò rỉ seed phrase ra bên ngoài. Công ty bảo mật SlowMist đánh giá đây là một cuộc tấn công chuỗi cung ứng, trong đó kẻ tấn công chèn mã độc ngay trong quá trình phát triển hoặc phân phối phần mềm, lợi dụng cơ chế cập nhật tự động để qua mặt người dùng.
Lưu lượng mạng cho thấy seed phrase của ví bị đánh cắp (Andrew Mohawk trên X)
Sự xuất hiện của một endpoint bên ngoài mới đăng ký trong extension là cực kỳ bất thường vì extension có quyền truy cập sâu vào dữ liệu nhạy cảm. Nhà nghiên cứu Andrew Mohawk sau đó xác nhận đây chính là điểm rò rỉ seed phrase và thông tin ví. WHOIS xác nhận tên miền này không thuộc quyền kiểm soát công khai của Trust Wallet.
Đòn đánh kép: phishing bám theo khủng hoảng
Khi cộng đồng tìm cách xử lý sự cố, các đối tượng xấu triển khai chiến dịch lừa đảo song song. Chúng tạo các trang web giả mạo, tiêu biểu là fix-trustwallet[.]com, mạo danh thương hiệu Trust Wallet và dụ người dùng nhập seed phrase để nhận “bản cập nhật bảo mật quan trọng theo lịch trình”.Tên miền "fix-trustwallet[.]com" đáng ngờ
Phản hồi từ Trust Wallet
Ngày 25/12, Trust Wallet chính thức xác nhận sự cố nghiêm trọng xảy ra trên Chrome extension phiên bản 2.68.0. Công ty khuyến cáo người dùng cập nhật ngay lên phiên bản 2.69 để ngăn chặn các vụ trộm tiền tiếp theo. Người dùng desktop cần tắt tiện ích trước khi cập nhật thủ công, còn người dùng di động vẫn an toàn và không bị ảnh hưởng.Trong nỗ lực ngăn chặn tin tặc, Trust Wallet vô hiệu hóa tất cả các API phát hành, chặn mọi cố gắng tung ra phiên bản mới trong hai tuần tiếp theo, đồng thời báo cáo tên miền rò rỉ tới NiceNIC, khiến kẻ tấn công không thể tiếp tục đánh cắp dữ liệu. Trước áp lực từ cộng đồng, nhà sáng lập Binance là Changpeng Zhao, cũng lên tiếng trấn an, cam kết bồi thường cho các nạn nhân và khẳng định sẽ tăng cường kiểm soát an ninh nội bộ.
Tính đến thời điểm này, Trust Wallet xác nhận 2.596 ví bị ảnh hưởng, trong khi họ nhận khoảng 5.000 yêu cầu bồi thường. Con số này cho thấy không ít yêu cầu giả hoặc trùng lặp, buộc đội ngũ phải xác minh cẩn thận quyền sở hữu ví trước khi hoàn trả tài sản.
Để bảo vệ tài sản, công ty hướng dẫn người dùng không mở extension nếu chưa cập nhật, truy cập bảng quản lý Chrome extension từ đường dẫn chính thức, tắt extension đang bật, bật chế độ Developer mode và cập nhật thủ công lên phiên bản 2.69. Những người nghi ngờ bị ảnh hưởng được khuyến nghị chuyển toàn bộ tài sản sang ví mới với seed phrase mới, tuyệt đối không dùng lại seed phrase cũ. Đồng thời, Trust Wallet cảnh báo về các tài khoản giả mạo trên Telegram, quảng cáo giả mạo và những form bồi thường lừa đảo, nhấn mạnh sự cảnh giác là yếu tố sống còn trong thời khủng hoảng.
Bài học lớn về chuỗi cung ứng trong ví tiền điện tử
Vụ việc Trust Wallet là lời cảnh báo về rủi ro chuỗi cung ứng trong các tiện ích ví trình duyệt. Một bản cập nhật chính thức có thể trở thành vũ khí nếu quy trình kiểm soát bị xuyên thủng. Người dùng và cộng đồng cần ý thức rằng cơ chế cập nhật tự động có thể triển khai mã độc ở quy mô lớn mà họ không kịp kiểm tra. Đây là bài học quan trọng về tầm quan trọng của việc rà soát an ninh chuỗi cung ứng và cảnh giác với các tiện ích ví, đặc biệt là trên trình duyệt.Sự cố này thực chất là phép thử cho năng lực bảo mật và cam kết bảo vệ người dùng của các nền tảng ví phổ biến. Các nhà phát triển buộc phải siết chặt quy trình kiểm soát nội bộ cũng như cơ chế phân phối phần mềm để đảm bảo an toàn cho cộng đồng. Việc chủ động hoàn thiện các biện pháp an ninh sẽ là tiền đề quan trọng để xây dựng một hệ sinh thái tài sản số minh bạch và vững chắc hơn trong tương lai.
Chỉnh sửa lần cuối: