Tiện ích mở rộng trình duyệt Trust Wallet bị tấn công, mất 6 triệu USD tài sản mã hóa

Bảo vệ ví an toàn: Lỗ hổng trong trình duyệt Trust Wallet dẫn đến mất mát lớn về tài sản

Gần đây, chính thức từ Trust Wallet xác nhận rằng tiện ích mở rộng trình duyệt của họ gặp phải lỗ hổng bảo mật nghiêm trọng, dẫn đến thiệt hại chưa từng có cho người dùng. Theo theo dõi của nhà phân tích chuỗi ZachXBT, vụ việc này đã khiến hơn 600万美元 (khoảng 4,8 tỷ Ấn Độ Rupee) tài sản mã hóa bị đánh cắp, với hàng trăm người dùng bị ảnh hưởng. Sự kiện này một lần nữa cảnh báo về an toàn ví.

Chi tiết lỗ hổng được tiết lộ: Phiên bản 2.68 là khu vực chịu thiệt hại nặng nề

Vấn đề ban đầu được ZachXBT phát hiện và công bố trong cộng đồng. Nhà phân tích này nhận thấy, tài sản của người dùng Trust Wallet bị mất mát lớn trong thời gian ngắn, các giao dịch bất thường xuất hiện thường xuyên trên chuỗi. Sau điều tra xác nhận, phiên bản tiện ích mở rộng trình duyệt 2.68 có lỗ hổng quan trọng, hacker có thể khai thác để trực tiếp truy cập quyền ví của người dùng.

Đáng chú ý, lỗ hổng này chỉ ảnh hưởng đến phiên bản trình duyệt, người dùng ứng dụng di động không bị ảnh hưởng. Trust Wallet đã nhanh chóng phát hành thông báo khẩn, yêu cầu người dùng bị ảnh hưởng tắt ngay phiên bản 2.68 và nâng cấp lên bản vá 2.69.

Phương thức tấn công của hacker được tiết lộ: Chuyển đổi tài sản bẩn qua Flash Loan

Dựa trên dữ liệu theo dõi chuỗi, hacker đã lợi dụng cơ chế Flash Loan để chuyển nhanh tài sản bị đánh cắp. Đã xác nhận có hơn 4 triệu USD tài sản mã hóa bị mất đã chảy vào các sàn giao dịch tập trung, nhằm thực hiện rút tiền mặt. Phương thức này cho thấy mức độ chuyên nghiệp và tính toán của kẻ tấn công rất cao.

Đây cũng là lần thứ hai sau sự kiện lỗ hổng WebAssembly của Trust Wallet vào tháng 11 năm 2022 (gây thiệt hại 17.000 USD), ví này lại xảy ra một vụ cố lớn về an ninh, thiệt hại gấp 35 lần lần trước.

Người dùng tự bảo vệ như thế nào? Chính thức phát hành hướng dẫn bảo vệ bốn bước

Trước tình hình nguy cấp này, chính thức từ Trust Wallet đã đưa ra các khuyến nghị bảo vệ rõ ràng:

Bước 1: Cập nhật ngay lập tức
Nâng cấp trình duyệt mở rộng lên phiên bản mới nhất 2.69 để đảm bảo các bản vá bảo mật có hiệu lực.

Bước 2: Chuyển tài sản
Chuyển tài sản số từ phiên bản trình duyệt sang ứng dụng di động. Ứng dụng này có xác thực sinh trắc học (vân tay, nhận diện khuôn mặt), độ an toàn cao hơn.

Bước 3: Kiểm tra định kỳ
Xem xét từng giao dịch trong ví, phát hiện sớm các hoạt động bất thường. Phát hiện sớm giúp kiểm soát thiệt hại tiềm năng hiệu quả hơn.

Bước 4: Theo dõi thông báo chính thức
Trust Wallet cho biết đang tích cực điều tra nguyên nhân vụ việc, các phương án bồi thường vẫn đang được đánh giá. Người dùng cần liên tục theo dõi các thông báo tiếp theo từ chính thức.

Triển vọng bồi thường chưa rõ ràng: Ngành công nghiệp lại đối mặt với trách nhiệm

Khác với sự kiện năm 2022, Trust Wallet đã bồi thường toàn bộ thiệt hại, lần này thiệt hại lên tới 600万美元 đã gây áp lực lớn về tài chính cho công ty. Tính đến tháng 12 năm 2025, chính thức chưa có kế hoạch bồi thường chính thức nào được công bố, nhiều người dùng bị ảnh hưởng vẫn đang chờ đợi phản hồi rõ ràng.

Sự kiện này một lần nữa phơi bày rủi ro cố hữu của ví trình duyệt như một cổng vào. Ngược lại, các ví tự quản lý vẫn còn tồn tại các nguy cơ bảo mật, và các tiếng nói về tiêu chuẩn an toàn ví và quản lý chung trong ngành ngày càng tăng.

Cảnh báo và suy ngẫm: Cập nhật định kỳ vẫn là hàng rào bảo vệ tốt nhất

Hai lần liên tiếp xảy ra các sự cố an ninh với Trust Wallet cho thấy, ngay cả ví nổi tiếng cũng khó tránh khỏi rủi ro hoàn toàn. Điều này cảnh báo toàn ngành.

Các chiến lược bảo vệ tốt nhất cho người dùng bao gồm:

• Cập nhật định kỳ tất cả ví và tiện ích mở rộng
• Áp dụng nhiều lớp xác thực (xác thực sinh trắc, ví phần cứng, v.v.)
• Phân tán lưu trữ tài sản
• Liên tục theo dõi hoạt động giao dịch
• Theo dõi các thông báo an toàn chính thức

Sự kiện này cũng nhấn mạnh ngành cần xây dựng các tiêu chuẩn an toàn nghiêm ngặt hơn và cơ chế ứng phó khẩn cấp để bảo vệ tài sản của hàng triệu người dùng.