Hơn 7 triệu USD tiền điện tử bị đánh cắp qua tiện ích Trust Wallet trên Chrome

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.450 bài viết
Hơn 7 triệu USD tiền điện tử bị đánh cắp qua tiện ích Trust Wallet trên Chrome
WhiteHat Team
Trust Wallet vừa xác nhận một sự cố bảo mật nghiêm trọng liên quan đến tiện ích mở rộng trên trình duyệt Chrome, khiến hàng trăm ví tiền điện tử của người dùng bị chiếm quyền kiểm soát và rút sạch tài sản. Tổng thiệt hại được ước tính hơn 7 triệu USD.
trust wallet.png

Theo Trust Wallet, sự cố xuất phát từ phiên bản tiện ích Chrome 2.68.0 được phát hành ngày 24/12, đúng vào đêm Giáng sinh. Ngay sau bản cập nhật này, nhiều người dùng bắt đầu phản ánh tình trạng tiền “bốc hơi” khỏi ví chỉ sau các thao tác thông thường như xác thực hoặc nhập seed phrase.

Các báo cáo cho thấy tài sản bị đánh cắp bao gồm nhiều loại tiền điện tử phổ biến như Bitcoin, Ethereum, Solana và BNB. Trên mạng xã hội, một số nạn nhân cho biết họ mất hàng trăm nghìn USD trong vòng vài phút, có trường hợp thiệt hại lên tới 300.000 USD.

Các nhà nghiên cứu bảo mật sau đó phát hiện mã độc đã bị chèn trực tiếp vào bản cập nhật tiện ích. Đoạn mã này được ngụy trang dưới dạng chức năng phân tích dữ liệu, âm thầm thu thập thông tin nhạy cảm của ví và gửi ra ngoài. Công ty bảo mật SlowMist đánh giá đây là một cuộc tấn công chuỗi cung ứng, khi kẻ tấn công lợi dụng chính kênh cập nhật phần mềm chính thức để phát tán mã độc.

Trong lúc người dùng hoang mang tìm cách khắc phục, các đối tượng tấn công còn triển khai thêm chiến dịch lừa đảo. Nhiều website giả mạo Trust Wallet xuất hiện, quảng bá các bản “vá lỗi khẩn cấp” nhưng thực chất nhằm dụ người dùng nhập seed phrase, từ đó chiếm toàn quyền kiểm soát ví.

Ngày 25/12, Trust Wallet chính thức thừa nhận sự cố và cho biết chỉ phiên bản tiện ích Chrome 2.68.0 bị ảnh hưởng. Công ty đã phát hành phiên bản 2.69 để khắc phục lỗ hổng, đồng thời khuyến cáo người dùng desktop tạm thời tắt tiện ích, cập nhật ngay lên phiên bản mới và không tương tác với các liên kết hỗ trợ không chính thức.

Trust Wallet cam kết hoàn tiền cho các nạn nhân bị ảnh hưởng và khẳng định ứng dụng di động không nằm trong phạm vi sự cố. Nhà sáng lập Binance Changpeng Zhao cũng lên tiếng trấn an rằng người dùng sẽ được bồi hoàn đầy đủ.

Sự cố lần này tiếp tục gióng lên hồi chuông cảnh báo về rủi ro an ninh đối với các ví tiền điện tử trên trình duyệt, đặc biệt trong bối cảnh các cuộc tấn công chuỗi cung ứng ngày càng gia tăng và gây thiệt hại lớn cho người dùng trên toàn cầu.
Tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Phân tích kỹ thuật khai thác lỗ hổng React2Shell (CVE-2025-55182)
  • Lỗ hổng nghiêm trọng MongoDB cho phép đọc dữ liệu bộ nhớ chưa khởi tạo
  • Hai lỗ hổng Zimbra đe dọa hàng nghìn hệ thống email doanh nghiệp
  • Net-SNMP: Lỗ hổng tràn bộ đệm CVSS 9,8 đe dọa hệ thống giám sát mạng toàn cầu
  • PoC lỗ hổng nhân Linux bị công khai, mở đường tấn công Android
  • Lỗ hổng nghiêm trọng trong n8n cho phép tin tặc kiểm soát toàn bộ hệ thống
    • Thẻ
    chrome 2.68.0 trust walle
    Bên trên