-
09/04/2020
-
122
-
1.450 bài viết
Đêm Giáng sinh kinh hoàng: Hơn 7 triệu USD bitcoin bốc hơi qua Trust Wallet
Một bản cập nhật tưởng như bình thường phát hành đúng đêm Giáng sinh đã trở thành khởi đầu cho một trong những sự cố nghiêm trọng nhất nhắm vào ví tiền điện tử trong năm 2025. Chỉ trong vài giờ sau khi bản cập nhật được tung ra, hàng trăm người dùng Trust Wallet phát hiện ví của mình bị rút sạch, gây thiệt hại hơn 7 triệu USD.
Nhà điều tra blockchain ZachXBT là một trong những người đầu tiên phát hiện dấu hiệu bất thường, khi ghi nhận sự gia tăng đột biến các giao dịch trái phép từ nhiều ví khác nhau. Một số nạn nhân cho biết họ mất hàng trăm nghìn USD chỉ trong vài phút, có trường hợp thiệt hại lên tới 300.000 USD.
Nhà điều tra blockchain ZachXBT là một trong những người đầu tiên phát hiện dấu hiệu bất thường. Ông ghi nhận một làn sóng giao dịch trái phép diễn ra đồng loạt từ nhiều ví Trust Wallet và nhanh chóng nhận ra tất cả các ví này vừa cập nhật phiên bản Chrome extension 2.68.0, biến bản cập nhật tưởng bình thường thành cửa ngõ cho kẻ tấn công.
Tên miền đáng ngờ được phát hiện trong phiên bản tiện ích mở rộng bị xâm nhập 2.68.0 (@0xakinator trên X)
Mã này giả vờ là công cụ phân tích hành vi nhưng thực chất theo dõi hoạt động ví và kích hoạt khi người dùng nhập seed phrase. Tên miền metrics-trustwallet[.]com mới được đăng ký vài ngày trước, hiện đã ngừng hoạt động.
Phân tích lưu lượng mạng cho thấy rõ hành vi rò rỉ seed phrase ra bên ngoài. Công ty bảo mật SlowMist đánh giá đây là một cuộc tấn công chuỗi cung ứng, trong đó kẻ tấn công chèn mã độc ngay trong quá trình phát triển hoặc phân phối phần mềm, lợi dụng cơ chế cập nhật tự động để qua mặt người dùng.
Lưu lượng mạng cho thấy seed phrase của ví bị đánh cắp (Andrew Mohawk trên X)
Sự xuất hiện của một endpoint bên ngoài mới đăng ký trong extension là cực kỳ bất thường vì extension có quyền truy cập sâu vào dữ liệu nhạy cảm. Nhà nghiên cứu Andrew Mohawk sau đó xác nhận đây chính là điểm rò rỉ seed phrase và thông tin ví. WHOIS xác nhận tên miền này không thuộc quyền kiểm soát công khai của Trust Wallet.
Tên miền "fix-trustwallet[.]com" đáng ngờDữ liệu WHOIS cho thấy các tên miền phishing sử dụng cùng nhà đăng ký với metrics-trustwallet[.]com, gợi ý rằng đây là một chiến dịch có tổ chức, do cùng nhóm thực hiện với vụ chèn mã độc vào extension.
Trước lo ngại của cộng đồng, nhà sáng lập Binance, Changpeng Zhao, đã lên tiếng trấn an, cam kết bồi thường cho các nạn nhân và không giấu được sự băn khoăn về khả năng sự cố xuất phát từ yếu tố nội bộ, đặt ra câu hỏi về các quy trình kiểm soát an ninh của nhà cung cấp ví.
Để bảo vệ tài sản, Trust Wallet hướng dẫn người dùng không mở extension nếu chưa cập nhật, truy cập bảng quản lý Chrome extension từ đường dẫn chính thức, tắt extension nếu đang bật, bật chế độ Developer mode và cập nhật thủ công lên phiên bản 2.69.
Với những ai nghi ngờ bị ảnh hưởng, lời khuyên được đưa ra là chuyển toàn bộ tài sản sang ví mới với seed phrase mới, xem các cụm từ khôi phục cũ là không còn an toàn. Mọi giao dịch từ đây nên thực hiện trên ví mới, tuyệt đối không dùng lại bất kỳ thông tin khôi phục cũ nào để đảm bảo an toàn tuyệt đối cho tài sản.
Sự cố này thực chất là phép thử cho năng lực bảo mật và cam kết bảo vệ người dùng của các nền tảng ví phổ biến. Các nhà phát triển buộc phải siết chặt quy trình kiểm soát nội bộ cũng như cơ chế phân phối phần mềm để đảm bảo an toàn cho cộng đồng. Việc chủ động hoàn thiện các biện pháp an ninh sẽ là tiền đề quan trọng để xây dựng một hệ sinh thái tài sản số minh bạch và vững chắc hơn trong tương lai.
Tiền “bốc hơi” sau một cú click quen thuộc
Ngày 24/12, hàng loạt người dùng Trust Wallet bắt đầu phản ánh trên mạng xã hội rằng ví của họ bị rút sạch tiền ngay sau khi thực hiện các thao tác thông thường như xác thực hoặc import seed phrase (cụm từ bí mật giống như chìa khóa chính của ví) trên tiện ích Chrome. Các tài sản bị mất trải rộng từ Ethereum, Bitcoin, Solana cho tới BNB.Nhà điều tra blockchain ZachXBT là một trong những người đầu tiên phát hiện dấu hiệu bất thường, khi ghi nhận sự gia tăng đột biến các giao dịch trái phép từ nhiều ví khác nhau. Một số nạn nhân cho biết họ mất hàng trăm nghìn USD chỉ trong vài phút, có trường hợp thiệt hại lên tới 300.000 USD.
Nhà điều tra blockchain ZachXBT là một trong những người đầu tiên phát hiện dấu hiệu bất thường. Ông ghi nhận một làn sóng giao dịch trái phép diễn ra đồng loạt từ nhiều ví Trust Wallet và nhanh chóng nhận ra tất cả các ví này vừa cập nhật phiên bản Chrome extension 2.68.0, biến bản cập nhật tưởng bình thường thành cửa ngõ cho kẻ tấn công.
Mã độc ẩn trong bản cập nhật chính thức
Chỉ vài giờ sau khi sự cố xảy ra, các nhà nghiên cứu bảo mật phát hiện mã độc trong Chrome extension 2.68.0 của Trust Wallet. Một file JavaScript nén tên 4482.js âm thầm gửi dữ liệu nhạy cảm từ ví người dùng ra máy chủ api.metrics-trustwallet[.]com.Tên miền đáng ngờ được phát hiện trong phiên bản tiện ích mở rộng bị xâm nhập 2.68.0 (@0xakinator trên X)
Mã này giả vờ là công cụ phân tích hành vi nhưng thực chất theo dõi hoạt động ví và kích hoạt khi người dùng nhập seed phrase. Tên miền metrics-trustwallet[.]com mới được đăng ký vài ngày trước, hiện đã ngừng hoạt động.
Phân tích lưu lượng mạng cho thấy rõ hành vi rò rỉ seed phrase ra bên ngoài. Công ty bảo mật SlowMist đánh giá đây là một cuộc tấn công chuỗi cung ứng, trong đó kẻ tấn công chèn mã độc ngay trong quá trình phát triển hoặc phân phối phần mềm, lợi dụng cơ chế cập nhật tự động để qua mặt người dùng.
Lưu lượng mạng cho thấy seed phrase của ví bị đánh cắp (Andrew Mohawk trên X)
Sự xuất hiện của một endpoint bên ngoài mới đăng ký trong extension là cực kỳ bất thường vì extension có quyền truy cập sâu vào dữ liệu nhạy cảm. Nhà nghiên cứu Andrew Mohawk sau đó xác nhận đây chính là điểm rò rỉ seed phrase và thông tin ví. WHOIS xác nhận tên miền này không thuộc quyền kiểm soát công khai của Trust Wallet.
Đòn đánh kép: phishing bám theo khủng hoảng
Khi cộng đồng tìm cách xử lý sự cố, các đối tượng xấu triển khai chiến dịch lừa đảo song song. Các trang web giả mạo, tiêu biểu là fix-trustwallet[.]com, mạo danh thương hiệu Trust Wallet và quảng cáo bản vá khẩn cấp. Người dùng được yêu cầu nhập seed phrase và chỉ một thao tác sai sót cũng đủ để kẻ xấu chiếm toàn bộ ví.Tên miền "fix-trustwallet[.]com" đáng ngờ
Phản hồi từ Trust Wallet
Ngày 25/12, Trust Wallet chính thức xác nhận một sự cố nghiêm trọng trên Chrome extension phiên bản 2.68.0 và khuyến cáo người dùng cập nhật ngay lên phiên bản 2.69. Người dùng desktop cần tắt tiện ích trước khi thực hiện cập nhật thủ công, trong khi người dùng di động may mắn hơn, không bị tác động.Trước lo ngại của cộng đồng, nhà sáng lập Binance, Changpeng Zhao, đã lên tiếng trấn an, cam kết bồi thường cho các nạn nhân và không giấu được sự băn khoăn về khả năng sự cố xuất phát từ yếu tố nội bộ, đặt ra câu hỏi về các quy trình kiểm soát an ninh của nhà cung cấp ví.
Để bảo vệ tài sản, Trust Wallet hướng dẫn người dùng không mở extension nếu chưa cập nhật, truy cập bảng quản lý Chrome extension từ đường dẫn chính thức, tắt extension nếu đang bật, bật chế độ Developer mode và cập nhật thủ công lên phiên bản 2.69.
Với những ai nghi ngờ bị ảnh hưởng, lời khuyên được đưa ra là chuyển toàn bộ tài sản sang ví mới với seed phrase mới, xem các cụm từ khôi phục cũ là không còn an toàn. Mọi giao dịch từ đây nên thực hiện trên ví mới, tuyệt đối không dùng lại bất kỳ thông tin khôi phục cũ nào để đảm bảo an toàn tuyệt đối cho tài sản.
Bài học lớn về chuỗi cung ứng trong ví tiền điện tử
Vụ việc Trust Wallet là lời cảnh báo về rủi ro chuỗi cung ứng trong các tiện ích ví trình duyệt. Một bản cập nhật chính thức có thể trở thành vũ khí nếu quy trình kiểm soát bị xuyên thủng. Người dùng và cộng đồng cần ý thức rằng cơ chế cập nhật tự động có thể triển khai mã độc ở quy mô lớn mà họ không kịp kiểm tra. Đây là bài học quan trọng về tầm quan trọng của việc rà soát an ninh chuỗi cung ứng và cảnh giác với các tiện ích ví, đặc biệt là trên trình duyệt.Sự cố này thực chất là phép thử cho năng lực bảo mật và cam kết bảo vệ người dùng của các nền tảng ví phổ biến. Các nhà phát triển buộc phải siết chặt quy trình kiểm soát nội bộ cũng như cơ chế phân phối phần mềm để đảm bảo an toàn cho cộng đồng. Việc chủ động hoàn thiện các biện pháp an ninh sẽ là tiền đề quan trọng để xây dựng một hệ sinh thái tài sản số minh bạch và vững chắc hơn trong tương lai.