Trust Wallet tiết lộ chi tiết vụ hack 8,5 triệu đô la - ForkLog: tiền điện tử, AI, siêu trí tuệ, tương lai

2025-12-31 12:35:02

# Trust Wallet tiết lộ chi tiết vụ hack trị giá 8,5 triệu đô la

Đội ngũ Trust Wallet đã công bố báo cáo về sự cố xảy ra vào ngày 26 tháng 12. Những kẻ tấn công đã xâm phạm tiện ích mở rộng trình duyệt và rút tiền tài sản trị giá 8,5 triệu đô la.

Theo tuyên bố, vụ tấn công ảnh hưởng đến 2520 địa chỉ. Các nhà phát triển cam kết hoàn toàn bồi thường thiệt hại cho những người bị ảnh hưởng.

Quá trình xảy ra

Nguyên nhân của vụ hack là do một cuộc tấn công quy mô lớn vào chuỗi cung ứng Sha1-Hulud, được ghi nhận từ tháng 11. Lúc đó, hacker đã truy cập vào các bí mật của nhà phát triển trên GitHub và API-keys của Chrome Web Store.

Sử dụng dữ liệu bị đánh cắp, những kẻ tấn công đã:

Tải xuống phiên bản độc hại của tiện ích mở rộng (2.68) trên Chrome Web Store, bỏ qua kiểm soát nội bộ của Trust Wallet.
Đăng ký tên miền metrics-trustwallet.com để thu thập dữ liệu nhạy cảm (bao gồm các cụm từ seed và khóa riêng).
Tự động phát hành bản cập nhật tới người dùng sau khi vượt qua kiểm tra của Google.

Phiên bản độc hại này đã hoạt động từ ngày 24 đến 26 tháng 12. Sau khi phát hiện vấn đề, đội ngũ đã thu hồi tiện ích mở rộng về phiên bản an toàn 2.69 và thu hồi các khóa bị xâm phạm.

Ai bị ảnh hưởng

Lỗ hổng chỉ ảnh hưởng đến người dùng của tiện ích mở rộng phiên bản 2.68 trên desktop, những người đã truy cập ví trong các ngày đó. Ứng dụng di động Trust Wallet và các phiên bản khác của tiện ích mở rộng vẫn an toàn.

Các nhà phân tích đã xác định được 17 địa chỉ do hacker kiểm soát. Tổng thiệt hại là 8,5 triệu đô la.

“Chúng tôi xem sự cố này không chỉ như một bài học nghiêm trọng cho chính chúng tôi, mà còn như một bước ngoặt cho toàn ngành trong vấn đề tấn công chuỗi cung ứng,” — Trust Wallet nhấn mạnh.

Quy trình hoàn trả tiền

Công ty đã bắt đầu làm việc với các nạn nhân của vụ hack. Để nhận bồi thường, người dùng cần gửi đơn đăng ký qua mẫu hỗ trợ chính thức và xác minh quyền sở hữu ví.

Trust Wallet nhấn mạnh rằng quá trình này khá phức tạp do sự gia tăng của các vụ lừa đảo. Hơn 5000 đơn đăng ký đã được gửi đến hơn 2520 địa chỉ bị ảnh hưởng. Đội ngũ khuyến nghị người dùng kiên nhẫn và cảnh giác với các chiêu trò lừa đảo qua phishing: hỗ trợ chính thức sẽ không bao giờ yêu cầu seed phrase.

Để phòng tránh các tình huống tương tự trong tương lai, dự án đã tăng cường các biện pháp an ninh, bao gồm kiểm tra mã phụ thuộc và luân chuyển dữ liệu đăng nhập.

Nhắc lại, theo SlowMist, trong năm 2025, tổng số tiền bị đánh cắp qua các cuộc tấn công phishing đã giảm 83%, còn 83,85 triệu đô la.

Xem bản gốc

Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.