Những điểm nổi bật chính:
- Hôm nay, ngày 26 tháng 12 năm 2025, tiện ích mở rộng Chrome của Trust Wallet đã bị tấn công, khiến người dùng mất 7 triệu đô la.
- Chỉ có tiện ích mở rộng trình duyệt bị ảnh hưởng.
- ZachXBT cũng đã báo cáo tài khoản Scammer .
Trust Wallet, một ví điện tử nổi tiếng được nhiều thành viên cộng đồng sử dụng để lưu trữ và quản lý tiền điện tử, hiện đang phải đối mặt với một lỗ hổng bảo mật liên quan đến tiện ích mở rộng trình duyệt Chrome của mình.
Trong vài giờ qua, nhiều người dùng nhận thấy tiền bị rút khỏi ví của họ mà không được sự cho phép. Điều này sau đó đã được xác nhận bởi chuyên gia phân tích blockchain, ZachXBT, và ông cho biết hơn 6 triệu đô la tiền điện tử đã bị đánh cắp, ảnh hưởng đến hàng trăm người dùng.
Chi tiết sự cố và tác động đến người dùng
Việc theo dõi của ZachXBT cho thấy rất nhiều tiền đã bị rút ra sau khi cập nhật tiện ích mở rộng. Trust Wallet sau đó đã đưa ra một tuyên bố chính thức và cho biết chỉ có tiện ích mở rộng trình duyệt phiên bản 2.68 bị ảnh hưởng và yêu cầu người dùng nâng cấp ngay lập tức lên phiên bản 2.69. Người dùng ứng dụng di động và các phiên bản tiện ích mở rộng khác không bị ảnh hưởng bởi lỗ hổng bảo mật này.
Chúng tôi đã phát hiện một sự cố bảo mật chỉ ảnh hưởng đến tiện ích mở rộng trình duyệt Trust Wallet phiên bản 2.68. Người dùng đang sử dụng tiện ích mở rộng trình duyệt phiên bản 2.68 nên tắt và nâng cấp lên phiên bản 2.69.
Vui lòng tham khảo LINK (Chainlink) chính thức đến Chrome Webstore tại đây: https://t.co/V3vMq31TKb
Xin lưu ý: Chỉ dành cho người dùng thiết bị di động…
— Trust Wallet (@TrustWallet) 25 tháng 12 năm 2025
Sau đó, PeckShield báo cáo rằng kẻ tấn công đã đánh cắp được khoảng 4 triệu đô la từ các sàn giao dịch tập trung (Sàn tập trung (CEX)). Con số này bao gồm 3,3 triệu đô la từ ChangeNOW, 340.000 đô la từ FixedFloat và 447.000 đô la từ Kucoin.
#PeckShieldAlert Lỗ hổng bảo mật @TrustWallet đã đánh cắp hơn 6 triệu đô la tiền điện tử từ các nạn nhân.
Mặc dù khoảng 2,8 triệu đô la Mỹ tiền bị đánh cắp vẫn còn trong ví của tin tặc (#Bitcoin/# Máy ảo Ethereum (EVM)/# Solana), phần lớn – hơn 4 triệu đô la Mỹ tiền điện tử – đã được chuyển đến các #CEX: khoảng 3,3 triệu đô la Mỹ đến @ChangeNOW_io, khoảng 340 nghìn đô la Mỹ đến… https://t.co/qMQY5Namgc pic.twitter.com/uHHaqVpNic
— PeckShieldAlert (@PeckShieldAlert) 26 tháng 12 năm 2025
Nhà sáng lập Binance, CZ, sau đó cập nhật rằng tổng thiệt hại vào khoảng 7 triệu đô la. CZ cũng đảm bảo với người dùng rằng Trust Wallet sẽ bồi thường thiệt hại và tất cả tiền hiện đã an toàn. Nhóm đang điều tra cách thức phiên bản bị xâm phạm được gửi lên hệ thống.
Tính đến nay, đã có 7 triệu đô la bị ảnh hưởng bởi vụ hack này. @TrustWallet sẽ chịu trách nhiệm. Tiền của người dùng vẫn an toàn. Cảm ơn sự thông cảm của các bạn về bất kỳ sự bất tiện nào gây ra. 🙏
Nhóm điều tra vẫn đang xem xét làm thế nào tin tặc có thể gửi phiên bản mới. https://t.co/xdPGwwDU8b
— CZ 🔶 BNB (@cz_binance) 26 tháng 12 năm 2025
Người sáng lập nhóm SlowMist Team đã tuyên bố trên trang X của mình rằng kẻ tấn công biết cách xây dựng tiện ích mở rộng trình duyệt của Trust Wallet. Theo lời khẳng định, hacker đã bí mật thêm PostHog JS, một công cụ được sử dụng để theo dõi hoạt động của người dùng, nhằm thu thập thông tin ví mà người dùng không hề hay biết.
攻击者看来很熟悉 Trust Wallet 扩展源码的,植入 PostHog JS 来采集用户钱包各种信息。
Ví Trust 修复版本没移除 PostHog JS @TrustWallet @EowynChen https://t.co/PM6I7lMCC9
- Cos(余弦)😶🌫️ (@evilcos) Ngày 26 tháng 12 năm 2025
Mặc dù Trust Wallet đã phát hành bản vá lỗi với phiên bản 2.69, một số người dùng vẫn lo lắng vì PostHog JS được cho là vẫn còn tồn tại trong phiên bản cập nhật. Điều này làm dấy lên nghi ngờ về việc liệu vấn đề đã được khắc phục hoàn toàn hay chưa.
Tài khoản giả mạo nạn nhân bị vạch trần giữa lúc vụ việc xảy ra.
Chuyên gia điều tra blockchain cũng đã vạch trần một tài khoản nạn nhân giả mạo trên X. Theo ZachXBT, tài khoản này đang được điều hành bởi Scammer. Anh ấy chỉ ra rằng có một số dấu hiệu đáng ngờ về tài khoản này, bao gồm việc người dùng đã thay đổi tên người dùng 44 lần, từng bị liên quan đến các vụ lừa đảo tiền ảo meme trong quá khứ và chỉ đăng bài 234 lần kể từ năm 2023.
Tài khoản X đó là của một Scammer đảo giả danh con gái và nói dối rằng mình là nạn nhân của vụ hack để thu hút sự tương tác.
>44 lần thay đổi tên người dùng
>vô số vụ lừa đảo tiền meme
Chỉ có 234 bài đăng cho một tài khoản năm 2023.
Họ đã chặn tôi trướcID người dùng X: 1725149174780268544 pic.twitter.com/mGyLe5Jvf5
— ZachXBT (@zachxbt) 26 tháng 12 năm 2025
Tất cả những điểm này cho thấy rằng những kẻ lừa đảo thường lợi dụng sự hoảng loạn trong các sự cố an ninh, và tăng nguy cơ lừa đảo trực tuyến và các thông tin giả mạo khi người dùng đang trong tình trạng căng thẳng.
Chuyên gia bảo mật giải thích cách ví điện tử an toàn hơn ngăn chặn tình trạng rút tiền tức thì.
Cos, người sáng lập SlowMist, cũng đã chia sẻ một thông tin quan trọng về bảo mật ví điện tử trên X, giải thích rằng các ví điện tử Account Abstraction (AA), chẳng hạn như trên Starknet, cung cấp mức độ bảo vệ tốt hơn thông qua các tính năng như xác thực hai yếu tố và thời gian chờ, giúp ngăn chặn việc rút tiền ngay lập tức ngay cả khi cụm từ khôi phục bị lộ.
Ông so sánh điều này với các ví Ethereum truyền thống, nơi chỉ một lần phê duyệt cũng có thể dẫn đến tổn thất lớn, và khuyên người dùng nên sử dụng các công cụ có tích hợp biện pháp bảo vệ, kết hợp chúng với ví phần cứng và tránh ký tên ẩn danh để giảm thiểu rủi ro.
Xem thêm: Vụ hack 27 triệu đô la nhắm vào ví đa chữ ký Whale, làm nổi bật các lỗ hổng bảo mật
