Lỗ hổng mở rộng Chrome của Trust Wallet: $7M Bị đánh cắp thông qua script độc hại ẩn có thể tránh bị phát hiện

Thế giới an ninh đã bùng nổ sau khi Trust Wallet vô hiệu hóa phiên bản tiện ích Chrome 2.68 vào ngày 25 tháng 12 năm 2025, sau một sự cố nghiêm trọng làm rò rỉ ví người dùng trên nhiều mạng blockchain khác nhau. Cập nhật khẩn cấp này diễn ra sau khi các nhà nghiên cứu và nạn nhân báo cáo về việc rút tiền có phối hợp liên quan đến phiên bản lỗi, với thiệt hại đã xác nhận lên tới khoảng $7 triệu đô la.

Dòng thời gian và quy mô của cuộc tấn công

Người dùng bắt đầu báo cáo về việc mất tài sản ngay sau ngày 24 tháng 12, khi phiên bản 2.68 được phát hành cho khoảng 1 triệu người dùng tiện ích Chrome. Lỗ hổng tạo ra một cửa sổ hẹp nhưng thảm khốc—những nạn nhân nhập hoặc nhập khẩu seed phrase trong khi chạy phiên bản bị xâm phạm đã thấy tài sản của họ bị rút về các địa chỉ không rõ trong vòng vài giờ.

Trust Wallet đã phát hành bản vá 2.69 cùng ngày sự cố được công khai, nhằm khắc phục nguyên nhân gốc rễ. Công ty sau đó xác nhận rằng người dùng di động và các phiên bản tiện ích khác vẫn không bị ảnh hưởng. Tuy nhiên, thiệt hại đã xảy ra đối với những ai đã tương tác với 2.68 trong giai đoạn dễ bị tấn công.

Phân tích kỹ thuật: Cách mã script tránh hệ thống phát hiện

Các nhà nghiên cứu an ninh phân tích phiên bản 2.68 phát hiện ra logic JavaScript bị mã hóa, nhúng trong gói tiện ích, bao gồm các tham chiếu đến một tệp đáng ngờ có tên “4482.js.” Script độc hại này được thiết kế để chặn bí mật ví và truyền chúng đến các máy chủ bên ngoài, thu thập khóa riêng của người dùng một cách hiệu quả.

Điều làm cuộc tấn công này đặc biệt nguy hiểm là mức độ tinh vi của cách mã độc cố gắng tránh khỏi cả các đánh giá an ninh tự động và phát hiện trong thời gian thực. Script sử dụng các kỹ thuật mã hóa mà các nghiên cứu cho rằng có thể làm giảm hiệu quả của các hệ thống phát hiện dựa trên máy học tĩnh theo thời gian—hiện tượng này được gọi là “concept drift” trong tài liệu học thuật.

Vector tấn công nhắm vào các đầu vào của người dùng tại điểm nhạy cảm nhất trong quá trình ký. Các tiện ích trình duyệt nằm ở điểm giao thoa quan trọng giữa giao diện web và các hoạt động mã hóa, nghĩa là bất kỳ sự xâm phạm nào cũng đe dọa trực tiếp đến dữ liệu mà người dùng dựa vào để xác minh giao dịch và quản lý tài sản.

Ai là người dễ bị tổn thương và họ nên làm gì bây giờ

Nhóm có nguy cơ cao nhất gồm những người đã nhập hoặc nhập khẩu seed phrase sau khi cài đặt 2.68—một seed phrase đóng vai trò như chìa khóa chính cho tất cả các địa chỉ hiện tại và tương lai được tạo ra từ nó, làm cho nó trở thành viên ngọc quý của bảo mật ví.

Đối với những người bị ảnh hưởng, việc cập nhật lên 2.69 là không đủ. Bản vá ngăn chặn khai thác trong tương lai nhưng không thể bảo vệ các thông tin đăng nhập đã bị lộ một cách hồi tố. Các bước phản ứng tiêu chuẩn bao gồm:

• Xem seed bị xâm phạm là không an toàn vĩnh viễn và tạo ví mới với seed phrase mới
• Chuyển tất cả quỹ đến các địa chỉ được tạo từ seed mới
• Thu hồi quyền token ở nơi có thể để ngăn chặn rút tiền thêm
• Xác minh tính toàn vẹn của hệ thống trước khi sử dụng lại bất kỳ thiết bị nào đã xử lý seed phrase bị xâm phạm

Những bước này đòi hỏi nỗ lực vận hành đáng kể từ phía người dùng cá nhân, bao gồm việc thiết lập lại các vị trí trên nhiều chuỗi và ứng dụng. Chi phí gas và rủi ro cầu nối thêm một lớp phức tạp cho quá trình phục hồi.

Trust Wallet cũng cảnh báo về các lừa đảo thứ cấp lợi dụng sự cố này. Các kẻ tấn công đã tung ra các tên miền “sửa” bắt chước nhằm lừa người dùng hoảng loạn tiết lộ seed phrase dưới vỏ bọc cung cấp giải pháp.

Ảnh hưởng thị trường và biến động giá TWT

Token Trust Wallet (TWT) phản ứng thị trường khá trái chiều với thông báo về vụ vi phạm. Giá hiện tại phản ánh mối lo ngại có mức độ chừng mực hơn là bán tháo hoảng loạn:

• Giá hiện tại: $0.88
• Thay đổi 24 giờ: -1.92%
• Biên độ trong ngày: $0.86–$0.90

Hành động giá tương đối ổn định này cho thấy thị trường đang phản ánh phản ứng nhanh chóng của Trust Wallet và cam kết hoàn trả cho người dùng bị ảnh hưởng, mặc dù niềm tin dài hạn phụ thuộc vào tính minh bạch và tiết lộ toàn diện sau sự cố.

Ảnh hưởng rộng hơn đối với hạ tầng crypto

Sự cố này làm sống lại các câu hỏi cơ bản về cách phần mềm crypto dành cho người tiêu dùng quản lý bí mật trên các thiết bị phổ thông. Phương thức phân phối—thông qua các cửa hàng ứng dụng chính thức có quy trình đánh giá—đặt ra những sự thật không thoải mái về giới hạn của việc kiểm tra an ninh tự động và nhu cầu:

• Xây dựng có thể tái tạo để cho phép xác minh độc lập
• Kiến trúc ký chia khóa để phân phối niềm tin
• Cơ chế quay lại rõ ràng khi cần vá lỗi khẩn cấp
• Đánh giá tiện ích mở rộng trình duyệt nâng cao để phát hiện mã độc mã hóa trước khi triển khai

Lỗ hổng này nhấn mạnh rằng ngay cả các giải pháp quản lý đáng tin cậy cũng vẫn dễ bị tổn thương khi hoạt động trong giới hạn của các nền tảng tính toán phổ thông.

Những gì xảy ra tiếp theo: Phạm vi không chắc chắn

Việc tính toán thiệt hại vẫn còn đang diễn ra. Khoảng $7 triệu đô la do Trust Wallet xác nhận có thể thay đổi dựa trên:

• Báo cáo nạn nhân chậm trễ trong vài tuần tới
• Các vector tấn công bổ sung mà các nhà điều tra có thể phát hiện
• Theo dõi chuỗi chéo khi quỹ bị đánh cắp di chuyển qua các lộ trình swap và sàn giao dịch
• Hiệu quả của các nỗ lực ngăn chặn copycat

Các nhà quan sát dự kiến phạm vi thiệt hại có thể phát triển như sau trong 2–8 tuần tới:

Con đường phía trước

Cam kết hoàn trả tất cả người dùng bị ảnh hưởng của Trust Wallet thể hiện trách nhiệm tài chính lớn nhưng cũng chứng tỏ sự tự tin vào quá trình điều tra của họ. Tính minh bạch của công ty sẽ quyết định liệu sự cố này có trở thành bài học cảnh báo hay là động lực thúc đẩy cải thiện an ninh toàn ngành.

Đối với người dùng, quyết định đơn giản: Bạn có nhập seed phrase khi 2.68 còn hoạt động không? Nếu có, hãy đổi ngay lập tức. Nếu không, việc cập nhật lên 2.69 từ Chrome Web Store chính thức sẽ giải quyết mối đe dọa trước mắt. Dù thế nào, hướng dẫn của Trust Wallet rất rõ ràng—vô hiệu hóa 2.68 và nâng cấp ngay bây giờ.