Lỗ hổng bảo mật trong tiện ích mở rộng trình duyệt của Trust Wallet dẫn đến mất 7 triệu USD

Khoảng 7 triệu đô la đã biến mất khỏi ví của người dùng Trust Wallet sau một sự cố liên quan đến tiện ích mở rộng trình duyệt của dịch vụ. Vấn đề được phát hiện vào cuối tháng 12, khi nhóm an ninh của nền tảng xác định các hoạt động bất thường trên nhiều tài khoản. Lỗi này ảnh hưởng đặc biệt đến phiên bản 2.68 của tiện ích mở rộng trình duyệt, gây nguy hiểm cho an toàn của quỹ của hàng trăm người dùng.

Changpeng Zhao, đồng sáng lập Binance (công ty mẹ của Trust Wallet), đã xác nhận công khai rằng tất cả các khoản mất sẽ được hoàn trả cho các người dùng bị ảnh hưởng. Phản ứng nhanh chóng của ban quản lý cho thấy cam kết bảo vệ nhà đầu tư.

Sự cố ảnh hưởng đến tiện ích mở rộng trình duyệt, nhưng các nền tảng khác vẫn an toàn

Khi phần mềm độc hại có thể truy cập vào tiện ích mở rộng trình duyệt của ví tiền điện tử, nó có thể ủy quyền các giao dịch chuyển tiền không hợp lệ. Sự cố này ban đầu được nhà phân tích onchain ZachXBT cảnh báo, đã đăng một cảnh báo trong cộng đồng về các khoản rút tiền không được phép.

“Một số người dùng của Trust Wallet đã báo cáo rằng quỹ của họ đã bị rút khỏi các địa chỉ trong vài giờ qua,” ZachXBT cho biết. “Mặc dù nguyên nhân chính xác vẫn đang được điều tra, nhưng tiện ích mở rộng trình duyệt đã phát hành một bản cập nhật trong cùng khoảng thời gian đó.”

Điều quan trọng là người dùng trên thiết bị di động và các phiên bản khác của tiện ích mở rộng trình duyệt không bị ảnh hưởng. Lỗ hổng này chỉ giới hạn ở phiên bản cụ thể được phát hành cho máy tính.

Làm thế nào lỗi này đã gây tổn hại cho quỹ của người dùng

Các ví tiền điện tử hoạt động bằng cách lưu trữ các khóa riêng tư cho phép thực hiện các giao dịch. Khi các tác nhân độc hại truy cập vào tiện ích mở rộng trình duyệt bị xâm phạm, chúng có thể vượt qua các lớp bảo vệ và thực hiện các chuyển khoản đến các địa chỉ do tội phạm kiểm soát.

Đội ngũ của Trust Wallet đã hướng dẫn ngay lập tức người dùng không mở phiên bản 2.68 và cập nhật lên phiên bản 2.69, phiên bản sửa lỗi lỗ hổng này. Loại tình huống này nhấn mạnh các rủi ro liên quan đến tiện ích mở rộng trình duyệt như một giao diện giữa người dùng và tài sản kỹ thuật số.

Dữ liệu cho thấy sự gia tăng nhanh các cuộc tấn công vào ví cá nhân

Các số liệu năm 2025 vẽ ra một bức tranh đáng lo ngại về an ninh của ví cá nhân. Theo báo cáo của Chainalysis, các vụ trộm tiền điện tử đã đạt 6,75 tỷ đô la trong năm đó. Thậm chí còn đáng báo động hơn là số lượng các vụ xâm phạm cá nhân đã tăng vọt lên 158 nghìn trường hợp, so với 64 nghìn trong năm trước.

Mặc dù tổng số tiền bị trộm từ ví cá nhân chỉ chiếm 20% tổng thiệt hại (thấp hơn mức 44% trong các giai đoạn trước), xu hướng gia tăng các cuộc tấn công nhằm vào người dùng cá nhân khiến các nhà phân tích trong ngành lo ngại.

Các biện pháp bảo vệ và phản ứng chính thức

Phản ứng của Trust Wallet đã diễn ra nhanh chóng. Nền tảng đã phát hành thông báo chính thức hướng dẫn cộng đồng về các hành động cần thiết. Ngoài việc bắt buộc cập nhật tiện ích mở rộng trình duyệt, ban quản lý đang làm việc để xác định tất cả các tài khoản bị ảnh hưởng và xử lý các khoản hoàn trả.

Changpeng Zhao đã khẳng định cam kết hoàn toàn bồi thường cho các người dùng bị thiệt hại, thể hiện ưu tiên lấy lại niềm tin vào nền tảng. Sự cố này nhấn mạnh tầm quan trọng của việc duy trì các tiện ích mở rộng trình duyệt luôn được cập nhật và theo dõi các hoạt động bất thường trong ví kỹ thuật số.

Đối với người dùng sử dụng tiện ích mở rộng trình duyệt để quản lý tiền điện tử, khuyến nghị kiểm tra thường xuyên các phiên bản đã cài đặt, bật xác thực hai yếu tố khi có thể, và xem xét sử dụng ví phần cứng cho các giá trị lớn hơn.