Lỗ hổng Trust Wallet trên Chrome đã gây thiệt hại 7 triệu đô la tiền điện tử

[T-800]

Trust Wallet đang kêu gọi người dùng cập nhật tiện ích mở rộng Google Chrome của mình lên phiên bản mới nhất sau sự cố mà họ mô tả là "sự cố bảo mật" dẫn đến thiệt hại khoảng 7 triệu đô la.

Theo dịch vụ ví tiền điện tử đa chuỗi, không lưu ký, sự cố này ảnh hưởng đến phiên bản 2.68. Tiện ích mở rộng này có khoảng một triệu người dùng, theo thông tin trên Chrome Web Store. Người dùng được khuyến cáo nên cập nhật lên phiên bản 2.69 càng sớm càng tốt.

Trust Wallet cho biết trong một bài đăng trên X: "Chúng tôi đã xác nhận rằng khoảng 7 triệu đô la đã bị ảnh hưởng và chúng tôi sẽ đảm bảo hoàn tiền cho tất cả người dùng bị ảnh hưởng. Hỗ trợ người dùng bị ảnh hưởng là ưu tiên hàng đầu của chúng tôi và chúng tôi đang tích cực hoàn tất quy trình hoàn tiền cho những người dùng bị ảnh hưởng."

Trust Wallet cũng khuyến cáo người dùng không nên tương tác với bất kỳ tin nhắn nào không đến từ các kênh chính thức của mình. Người dùng chỉ sử dụng trên thiết bị di động và tất cả các phiên bản tiện ích mở rộng trình duyệt khác không bị ảnh hưởng.

Theo thông tin được SlowMist chia sẻ, phiên bản 2.68 đã đưa vào mã độc được thiết kế để duyệt qua tất cả các ví được lưu trữ trong tiện ích mở rộng và kích hoạt yêu cầu nhập cụm từ ghi nhớ cho mỗi ví.

"Cụm từ ghi nhớ được mã hóa sau đó sẽ được giải mã bằng mật khẩu hoặc mã khóa được nhập trong quá trình mở khóa ví," công ty bảo mật blockchain cho biết. "Sau khi được giải mã, cụm từ ghi nhớ sẽ được gửi đến máy chủ của kẻ tấn công tại api.metrics-trustwallet[.]com."

Tên miền "metrics-trustwallet[.]com" được đăng ký vào ngày 8 tháng 12 năm 2025, với yêu cầu đầu tiên tới "api.metrics-trustwallet[.]com" bắt đầu vào ngày 21 tháng 12 năm 2025.

Phân tích sâu hơn cho thấy kẻ tấn công đã lợi dụng thư viện phân tích chuỗi khối đầy đủ mã nguồn mở có tên posthog-js để thu thập thông tin người dùng ví.

Số tài sản kỹ thuật số bị đánh cắp cho đến nay bao gồm khoảng 3 triệu đô la Bitcoin, 431 triệu đô la Solana và hơn 3 triệu đô la Ethereum. Số tiền bị đánh cắp đã được chuyển qua các sàn giao dịch tập trung và các cầu nối chuỗi chéo để rửa tiền và trao đổi. Theo thông tin cập nhật được chia sẻ bởi nhà điều tra blockchain ZachXBT, vụ việc đã gây thiệt hại cho hàng trăm nạn nhân.

"Mặc dù khoảng 2,8 triệu đô la Mỹ tiền bị đánh cắp vẫn còn trong ví của tin tặc (Bitcoin/ EVM/ Solana), phần lớn – hơn 4 triệu đô la Mỹ tiền điện tử – đã được chuyển đến các sàn giao dịch tập trung (CEX): khoảng 3,3 triệu đô la Mỹ đến ChangeNOW, khoảng 340.000 đô la Mỹ đến FixedFloat và khoảng 447.000 đô la Mỹ đến KuCoin," PeckShield cho biết.

SlowMist cho biết: "Sự cố cửa hậu này bắt nguồn từ việc sửa đổi mã nguồn độc hại bên trong mã nguồn mở rộng Trust Wallet nội bộ (logic phân tích), chứ không phải do việc tiêm vào một thành phần phụ thuộc của bên thứ ba bị xâm phạm (ví dụ: gói npm độc hại)."

"Kẻ tấn công đã trực tiếp can thiệp vào mã nguồn của ứng dụng, sau đó lợi dụng thư viện phân tích PostHog hợp pháp làm kênh đánh cắp dữ liệu, chuyển hướng lưu lượng truy cập phân tích đến máy chủ do kẻ tấn công kiểm soát."

Công ty cho biết có khả năng đây là hành động của một tác nhân nhà nước, đồng thời cho rằng những kẻ tấn công có thể đã giành quyền kiểm soát các thiết bị của nhà phát triển liên quan đến Trust Wallet hoặc có được quyền triển khai trước ngày 8 tháng 12 năm 2025.

Changpeng Zhao, một trong những người đồng sáng lập sàn giao dịch tiền điện tử Binance, đơn vị sở hữu tiện ích này, đã ám chỉ rằng vụ tấn công "rất có thể" do một người nội bộ thực hiện, mặc dù không có thêm bằng chứng nào được cung cấp để hỗ trợ giả thuyết này.

Trong một thông báo cập nhật tiếp theo, Trust Wallet đã kêu gọi người dùng bị ảnh hưởng điền vào biểu mẫu trên trang hỗ trợ của họ tại "trustwallet-support.freshdesk[.]com" để bắt đầu quy trình bồi thường. Các nạn nhân được yêu cầu cung cấp địa chỉ email liên hệ, quốc gia cư trú, địa chỉ ví bị xâm phạm, địa chỉ nhận tiền và mã băm giao dịch tương ứng.

"Chúng tôi đang phát hiện các vụ lừa đảo thông qua quảng cáo trên Telegram, các mẫu đơn 'bồi thường' giả mạo, tài khoản hỗ trợ mạo danh và tin nhắn trực tiếp," công ty cảnh báo. "Luôn xác minh liên kết, không bao giờ chia sẻ cụm từ khôi phục của bạn và chỉ sử dụng các kênh chính thức của Trust Wallet."

Eowyn Chen, Giám đốc điều hành của Trust Wallet, cho biết một cuộc điều tra về sự cố đang được tiến hành, đồng thời khẳng định rằng vấn đề chỉ ảnh hưởng đến người dùng tiện ích mở rộng trình duyệt Chrome phiên bản 2.68 đã đăng nhập trước 11 giờ sáng ngày 26 tháng 12 năm 2025 (UTC).

"Tiện ích mở rộng độc hại phiên bản 2.68 KHÔNG được phát hành thông qua quy trình thủ công nội bộ của chúng tôi," Chen cho biết. "Những phát hiện hiện tại của chúng tôi cho thấy rất có thể nó đã được phát hành ra bên ngoài thông qua khóa API của Chrome Web Store, bỏ qua các bước kiểm tra phát hành tiêu chuẩn của chúng tôi."

"Tin tặc đã sử dụng khóa API bị rò rỉ của Chrome Web Store để gửi phiên bản tiện ích mở rộng độc hại v2.68. Phiên bản này đã vượt qua quá trình kiểm duyệt của Chrome Web Store và được phát hành vào lúc 12:32 chiều UTC ngày 24 tháng 12 năm 2025."

Sau khi phát hiện ra vụ xâm phạm, Chen cho biết công ty đã tiến hành các bước như đình chỉ tên miền độc hại, vô hiệu hóa tất cả các API đã phát hành và xử lý việc bồi thường cho các nạn nhân bị ảnh hưởng.