Ví tiền điện tử Trust Wallet đã phát đi cảnh báo bảo mật nghiêm trọng sáng nay (ngày 26) khoảng 6 giờ sáng, xác nhận một lỗ hổng nghiêm trọng trong tiện ích mở rộng trình duyệt phiên bản 2.68, dẫn đến việc tài sản của người dùng bị rút ra ngoài. Theo dõi của chuyên gia phân tích Chuỗi ZachXBT cho thấy đã có hàng trăm nạn nhân, với ước tính ban đầu về thiệt hại khoảng 6 triệu đô la.
Chi tiết về lỗ hổng bảo mật và quy mô thiệt hại
Thông báo chính thức nêu rõ rằng những người dùng bị ảnh hưởng là những người đã cài đặt phiên bản 2.68 của các tính năng mở rộng trên thiết bị di động của họ. Trust Wallet nhấn mạnh trong thông báo:
Chúng tôi đã phát hành phiên bản 2.69 để vá lỗi. Tất cả người dùng tiện ích mở rộng trình duyệt được yêu cầu nâng cấp ngay lập tức.
Nếu bạn cũng là người dùng Trust Wallet và đã cài đặt phiên bản 2.68 ("Không nhập Cụm từ hạt giống ") , tốt nhất nên nâng cấp thông qua liên kết chính thức trên Chrome Web Store. Cụm từ hạt giống được nhập vào hoàn cảnh bị nhiễm độc nên được coi là đã bị rò rỉ; cần tạo một ví mới và chuyển số dư.
Mã độc 4482.js xâm nhập trái phép thông qua các bản cập nhật chính thức.
Theo như được biết, những kẻ tấn công đã chèn một tệp có tên 4482.js vào quy trình đóng gói, tuyên bố rằng nó dành cho "Phân tích". Khi phát hiện người dùng nhập Cụm từ hạt giống , nó sẽ gửi dữ liệu đến tên miền đã đăng ký metrics-trustwallet.com, và sau đó sử dụng các tập lệnh tự động để nhanh chóng rút tài sản trên Chuỗi tương thích EVM, Bitcoin và Solana .
Hiện tại, một số nạn nhân đã báo cáo thiệt hại từ hàng chục nghìn đến hàng trăm nghìn đô la. BlockTempo sẽ tiếp tục theo dõi xem chính thức sẽ xử lý việc bồi thường như thế nào.
