Sáng sớm thứ Sáu, ngày 26 tháng 12, ví tiền điện tử Trust Wallet xác nhận rằng khoảng 7 triệu đô la tiền của khách hàng đã bị mất trong một vụ tấn công mạng. Vụ hack được cho là có liên quan đến bản cập nhật lỗi của tiện ích mở rộng trình duyệt Chrome của ví, sau khi người dùng báo cáo mất tiền trong một vụ tấn công dường như là tấn công chuỗi cung ứng.
Theo thông báo của công ty trên diễn đàn X tối qua, khi lần đầu tiên xác nhận lỗ hổng này, vấn đề chỉ ảnh hưởng đến phiên bản 2.68 của tiện ích mở rộng trình duyệt Trust Wallet. Người dùng được khuyến cáo ngừng mở tiện ích, tắt nó đi và nâng cấp lên phiên bản 2.69. Theo nhóm phát triển, người dùng trên thiết bị di động và các phiên bản khác không bị ảnh hưởng.
Cảnh báo này được đưa ra chỉ vài giờ sau khi chuyên gia về blockchain ZachXBT báo cáo trên kênh Telegram của mình rằng một số người dùng Trust Wallet đã bị rút hết tiền chỉ trong vài giờ, ngay sau khi bản cập nhật tiện ích mở rộng Chrome mới được phát hành.
Người dùng sẽ được bồi thường.
Changpeng Zhao, người sáng lập sàn giao dịch crypto Binance , đơn vị đã mua lại Trust Wallet vào năm 2018, tiết lộ trong một bài đăng trên X vào tối thứ Năm rằng 7 triệu đô la tiền của người dùng đã bị đánh cắp trong vụ tấn công mạng và Trust Wallet sẽ bồi thường cho những người dùng bị ảnh hưởng.
“Cho đến nay, đã có 7 triệu đô la bị ảnh hưởng bởi vụ hack này. Trust Wallet sẽ chịu trách nhiệm. Tiền của người dùng vẫn an toàn. Rất mong nhận được sự thông cảm của các bạn về bất kỳ sự bất tiện nào gây ra,” Zhao viết.
Công ty bảo mật blockchain SlowMist đã nêu rõ trong một bài đăng trên diễn đàn X vào ngày 26 tháng 12 rằng cuộc tấn công có khả năng liên quan đến việc can thiệp trực tiếp vào mã mở rộng của Trust Wallet, chứ không phải là một thư viện bên thứ ba bị xâm phạm.
“Việc so sánh sự khác biệt giữa phiên bản 2.67 và 2.68 đã phát hiện ra mã độc được bí mật chèn vào bản cập nhật 2.68. Mã độc này sẽ lặp qua tất cả các ví được lưu trữ trong tiện ích mở rộng, kích hoạt yêu cầu lấy Cụm từ gọi nhớ cho mỗi ví,” công ty bảo mật cho biết.
Theo các nguồn tin, nhóm tấn công đã sử dụng các công cụ phân tích hợp pháp để bí mật gửi dữ liệu đến các máy chủ mà chúng kiểm soát.
Đây không phải là lần đầu tiên tiện ích mở rộng trình duyệt của Trust Wallet gây ra lo ngại về bảo mật. Năm 2023, giám đốc công nghệ của ví phần cứng Ledger, Charles Guillemet, đã tiết lộ trong một bài đăng trên diễn đàn X rằng nhóm bảo mật của Ledger đã xác định được một lỗ hổng "nghiêm trọng" trong tiện ích mở rộng Chrome của Trust Wallet, có thể cho phép kẻ tấn công rút hết tiền trong ví mà không cần bất kỳ tương tác nào từ người dùng.
Vào thời điểm đó, Guillemet cho biết lỗ hổng này đã được phát hiện trước khi nó có thể bị khai thác trên quy mô lớn.
