Trust Wallet vụ trộm Giáng sinh! ZachXBT cảnh báo sau khi cập nhật Chrome bị đánh cắp tập thể

12 tháng 12 ngày 25 tháng 12, ngày Giáng sinh, nhiều người dùng Trust Wallet thức dậy phát hiện số tiền trong ví bị chuyển đi mà không được phép, số tiền thiệt hại chưa rõ. Các điều tra viên blockchain ZachXBT đã phát đi cảnh báo khẩn cấp trên nhóm Telegram, chỉ ra rằng các vụ trộm này xảy ra sau khi cập nhật tiện ích mở rộng Trust Wallet Chrome vào ngày 24 tháng 12, thời điểm rất đáng ngờ.

Dòng thời gian tấn công Giáng sinh: Bão hoàn hảo trong 24 giờ

Dòng thời gian vụ việc cho thấy kẻ tấn công đã lên kế hoạch cẩn thận. Vào đêm Giáng sinh ngày 24 tháng 12, Trust Wallet đã cập nhật tiện ích mở rộng trên Chrome Web Store, phần lớn người dùng tự động hoặc thủ công cập nhật trong không khí lễ hội. Vào sáng ngày 25 tháng 12, giờ Đông Mỹ, khoảng từ rạng sáng đến sáng sớm, những người đầu tiên bị thiệt hại phát hiện ra số tiền bị chuyển bất thường. Sau khi nhận được nhiều báo cáo, ZachXBT đã phát đi cảnh báo công khai trên Telegram vào buổi trưa địa phương, kêu gọi người dùng Trust Wallet kiểm tra ví ngay lập tức.

Thời điểm lễ hội không phải là ngẫu nhiên. Trong dịp Giáng sinh, nhân lực của nhóm phát triển giảm, phản hồi dịch vụ khách hàng chậm, người dùng giảm cảnh giác, tạo điều kiện thuận lợi cho kẻ tấn công. Chiến lược tương tự đã từng xuất hiện trong vụ tấn công ví Slope năm 2022, khi kẻ tấn công lợi dụng cuối tuần để trộm hơn 8.000 ví Solana. Sự im lặng của Trust Wallet lần này càng làm tăng hoảng loạn, người dùng phàn nàn trên mạng xã hội về việc không thể liên hệ với chính thức để có phản hồi rõ ràng.

ZachXBT đặc biệt nhấn mạnh trong cảnh báo rằng “nguyên nhân chính xác vẫn chưa được xác định”, nhưng đổ lỗi cho việc cập nhật tiện ích mở rộng Chrome. Chi tiết này rất quan trọng vì nó chuyển hướng điều tra từ lỗi của người dùng sang lỗ hổng hệ thống. Nếu xác nhận do chính tiện ích mở rộng gây ra, Trust Wallet sẽ đối mặt với rủi ro pháp lý và uy tín lớn. Hiện tại, ZachXBT đang thu thập địa chỉ ví bị thiệt hại, cố gắng theo dõi dòng tiền và nhận diện mô hình tấn công.

Tiện ích mở rộng Chrome: Trojan của ví tiền mã hóa

Tính năng quyền cao của tiện ích mở rộng trình duyệt khiến nó trở thành mục tiêu lý tưởng của kẻ tấn công. Tiện ích mở rộng Chrome có thể đọc và chỉnh sửa tất cả nội dung trang web người dùng truy cập, chặn các yêu cầu mạng, chèn mã tùy ý, thậm chí truy cập lưu trữ cục bộ. Đối với các tiện ích ví tiền mã hóa, những quyền này có nghĩa là chúng có thể: bắt giữ nhập mnemonic và khóa riêng của người dùng, chỉnh sửa địa chỉ và số tiền giao dịch, chặn yêu cầu ký và thay thế dữ liệu giao dịch, truy cập các phiên mã hóa lưu trong trình duyệt.

Các nhà nghiên cứu an ninh nhiều lần cảnh báo rằng một lần cập nhật độc hại hoặc một phụ thuộc bị chỉnh sửa có thể đặt hàng triệu người dùng vào rủi ro. Tháng 11 năm 2023, một thư viện phổ biến mang tên “Ledger Connect Kit” đã bị tấn công, ảnh hưởng đến nhiều frontend DeFi, gây thiệt hại hơn 48.000 USD cho người dùng. Cuộc tấn công này chứng minh sức mạnh của tấn công chuỗi cung ứng: kẻ tấn công không cần xâm nhập trực tiếp vào ứng dụng ví, chỉ cần kiểm soát một thư viện phụ thuộc upstream.

Ba rủi ro hệ thống chính của ví trình duyệt

Cơ chế tự động cập nhật: Tiện ích mở rộng tự động cập nhật theo mặc định, người dùng không thể xem xét mã nguồn thay đổi trước khi chấp nhận phiên bản mới

Lạm dụng quyền hạn: Tiện ích hợp pháp có thể thêm mã độc trong cập nhật, lợi dụng quyền hạn rộng rãi đã cấp để trộm tài sản

Lỗ hổng chuỗi phụ thuộc: Nếu thư viện bên thứ ba mà ví phụ thuộc bị tấn công, tất cả các ứng dụng phía dưới sẽ bị ảnh hưởng mà người dùng không hay biết

Trong vài tháng gần đây đã xuất hiện nhiều mối đe dọa tương tự. Các báo cáo từ công ty an ninh cho thấy một số tiện ích ví giả mạo được thiết kế để trộm mnemonic, kẻ tấn công dùng các cụm từ này để hoàn toàn tái tạo ví và sau đó lấy cắp tiền. Các cuộc tấn công tinh vi hơn đến từ các tiện ích “trợ lý” giao dịch độc hại, chúng âm thầm chỉnh sửa lệnh giao dịch, mỗi lần người dùng phê duyệt hoán đổi đều bị trộm một lượng nhỏ tiền mã hóa, do số lượng nhỏ nên thường không bị phát hiện.

Hướng dẫn đối phó và cứu vãn tài sản cho nạn nhân

Đối với người dùng Trust Wallet nghi ngờ bị ảnh hưởng, thời gian cực kỳ quan trọng. Nhiệm vụ hàng đầu là kiểm tra ngay lập tức các giao dịch trong 48 giờ gần nhất, đặc biệt chú ý đến bất kỳ chuyển token trái phép, tương tác hợp đồng hoặc ký phép nào không rõ. Nếu phát hiện giao dịch đáng ngờ, cần thực hiện các bước sau: tắt tiện ích mở rộng Trust Wallet Chrome, truy cập chrome://extensions để vô hiệu hoặc gỡ bỏ; thu hồi tất cả các quyền DeFi, dùng Revoke.cash hoặc chức năng Token Approvals của Etherscan; tạo ví mới, dùng mnemonic mới thay vì ví cũ để khôi phục; chuyển toàn bộ tài sản còn lại sang ví mới, nhưng đảm bảo không dùng thiết bị có thể đã bị theo dõi.

ZachXBT khuyên nạn nhân chủ động liên hệ cơ quan pháp luật và cung cấp đầy đủ hồ sơ giao dịch. Dù tỉ lệ phá án các vụ trộm tiền mã hóa còn thấp, việc lập hồ sơ chính thức rất quan trọng cho các vụ kiện tập thể hoặc yêu cầu bảo hiểm trong tương lai. Đồng thời, người dùng nên báo cáo tình hình bị tấn công trên nhóm Telegram của ZachXBT hoặc các diễn đàn cộng đồng liên quan, cung cấp số tiền bị trộm và địa chỉ ví để giúp các điều tra viên xây dựng bức tranh toàn diện về vụ tấn công.

Đối với người dùng Trust Wallet chưa bị ảnh hưởng, các biện pháp phòng ngừa bao gồm: tạm dừng sử dụng tiện ích mở rộng Chrome, chuyển sang ứng dụng di động hoặc ví phần cứng; kiểm tra và thu hồi các quyền hợp đồng DeFi không cần thiết; tránh ký các giao dịch hoặc cấp phép mới cho đến khi rõ ràng; sao lưu mnemonic thường xuyên và lưu trữ ở môi trường offline; xem xét chuyển tài sản lớn sang ví phần cứng như Ledger hoặc Trezor.

Phản hồi chính thức của Trust Wallet thiếu vắng gây ra khủng hoảng niềm tin

Tính đến thời điểm phát hành, Trust Wallet chưa đưa ra tuyên bố chính thức xác nhận rằng cập nhật tiện ích mở rộng Chrome là nguyên nhân trực tiếp, cũng chưa cung cấp chi tiết kỹ thuật hoặc phương án bồi thường. Sự im lặng này đã gây phẫn nộ trong cộng đồng tiền mã hóa. Người dùng trên nền tảng X và Reddit phàn nàn về việc không thể liên hệ dịch vụ khách hàng, tài khoản chính thức không phản hồi về vụ việc, thậm chí còn tiếp tục đăng tải lời chúc mừng lễ hội, trái ngược hoàn toàn với sự lo lắng của nạn nhân.

Trust Wallet là ví tiền mã hóa thuộc sở hữu của Binance, tuyên bố có hàng chục triệu người dùng. Nếu sự cố an ninh quy mô lớn này được xác nhận, sẽ gây thiệt hại nặng nề cho vị thế thị trường của họ. Trước đó, ví Slope đã mất hơn 70% người dùng sau vụ lộ khóa riêng vào năm 2022, đến nay chưa phục hồi. Nếu Trust Wallet không thể xử lý khủng hoảng này một cách minh bạch nhanh chóng, họ có thể đối mặt với số phận tương tự.