Lỗ hổng bảo mật tiết lộ điểm yếu của ví trình duyệt: Tấn công vào tiện ích mở rộng Chrome của Trust Wallet gây thiệt hại hàng triệu

Một sự cố an ninh lớn đã làm chao đảo cộng đồng tiền điện tử sau một bản cập nhật bị xâm phạm cho tiện ích mở rộng Chrome của một ví phổ biến. Phiên bản 2.68.0 của tiện ích mở rộng trình duyệt Trust Wallet đã kích hoạt một làn sóng tấn công chưa từng có, với các tài khoản bị xâm phạm mất toàn bộ số dư chỉ trong vài phút sau khi nhập seed phrases. Sự cố này, ảnh hưởng đến các khoản nắm giữ Bitcoin, Ethereum và BNB, đã phơi bày những lỗ hổng nghiêm trọng trong bảo mật ví dựa trên trình duyệt và gây ra những lo ngại cấp bách trong ngành.

Rút tiền có phối hợp của các tài sản tiền điện tử

Nhà phân tích blockchain ZachXBT phát hiện ra tính chất tinh vi của lỗ hổng bảo mật này bằng cách theo dõi các mô hình hoạt động bất thường trên chuỗi. Ngay sau khi phiên bản tiện ích mở rộng bị lỗi được phát hành, nhiều địa chỉ Trust Wallet đã trải qua các chuyển khoản quỹ có phối hợp. Thay vì rút tiền dần dần, các hacker đã di chuyển tài sản một cách quyết liệt trong các giao dịch đơn lẻ, hợp nhất các tiền điện tử bị đánh cắp vào các địa chỉ trung gian chỉ trong vài giây.

Việc thực hiện cuộc tấn công cho thấy đây là một hoạt động được tổ chức bài bản. Các khoản tiền từ nhiều ví bị xâm phạm đã chảy qua các mô hình chuyển hướng giống nhau, cho thấy một hạ tầng tấn công thống nhất nhắm vào người dùng đã cài đặt bản cập nhật gặp sự cố. Mỗi ví đều bị cạn kiệt hoàn toàn tài sản—Bitcoin, Ethereum và BNB đều bị xóa sạch và phân phối lại qua nhiều địa chỉ trung gian.

Thiệt hại đã xác nhận và khả năng tổng thiệt hại

Phân tích chuỗi hiện tại liên kết khoảng 4,3 triệu đô la Mỹ trong tiền điện tử với các địa chỉ trực tiếp liên quan đến sự cố bảo mật này. Theo cuộc điều tra của ZachXBT, các địa chỉ chính nhận đã rút tiền từ nhiều ví bị xâm phạm trong khi thể hiện các chữ ký giao dịch trùng khớp, cho thấy phương pháp tấn công phối hợp.

Số tiền 4,3 triệu đô la chỉ phản ánh các giao dịch đã xác minh trên các ghi nhận công khai của blockchain. Các chuyên gia an ninh cảnh báo rằng quy mô thực sự của thiệt hại có thể vượt quá con số này, vì nhiều người dùng bị ảnh hưởng có thể chưa công khai tiết lộ việc bị xâm phạm của họ, và các giao dịch bổ sung vẫn đang được xử lý trên các mạng phi tập trung.

Phản hồi chính thức và các bước khắc phục

Vào ngày 26 tháng 12 năm 2025, nhóm Trust Wallet đã xác nhận sự cố bảo mật qua một thông báo chính thức, xác nhận rằng lỗ hổng tồn tại rõ ràng trong phiên bản tiện ích mở rộng trình duyệt 2.68. Nhóm đề xuất hành động khẩn cấp: người dùng được khuyên tắt tiện ích mở rộng và nâng cấp lên phiên bản vá lỗi 2.69 như một biện pháp khẩn cấp.

Sự cố này nhấn mạnh một lỗ hổng trong hệ sinh thái rộng lớn hơn. Các tiện ích mở rộng ví dựa trên trình duyệt đã trở thành các vector tấn công ưa thích do chúng tương tác trực tiếp với seed phrases và private keys của người dùng. Lỗ hổng bảo mật này là một lời nhắc nhở rõ ràng rằng ngay cả các nền tảng đã được thiết lập cũng có thể gặp phải những sai sót nghiêm trọng, buộc cộng đồng phải xem xét lại các giả định về sự tin tưởng đối với các giải pháp ví tập trung vào sự tiện lợi.

Ảnh hưởng của ngành đối với bảo mật ví trình duyệt

Sự cố này đã thổi bùng lại các cuộc tranh luận cơ bản về các đánh đổi về bảo mật vốn có trong ví mở rộng trình duyệt. Trong khi các tiện ích này cung cấp khả năng truy cập dễ dàng và thuận tiện, chúng hoạt động trong môi trường dễ bị tấn công—từ các bản cập nhật độc hại đến việc xâm phạm tiện ích mở rộng. Tính chất phối hợp của cuộc tấn công này cho thấy các hacker đã truy cập vào các cơ chế phân phối cập nhật, làm nổi bật các rủi ro về an ninh chuỗi cung ứng trong toàn bộ hệ sinh thái ví.

Khi các cuộc điều tra tiếp tục, người dùng được khuyên nên xem xét lại các thực hành bảo mật của họ và cân nhắc xem các giải pháp dựa trên trình duyệt có phù hợp với mức độ rủi ro của họ khi lưu trữ tài sản tiền điện tử hay không.