Chrome tiện ích mở rộng Trust Wallet: Script ẩn đã thu thập khóa riêng tư, thiệt hại lên tới 7 triệu USD

Sự cố bảo mật nghiêm trọng: Phiên bản 2.68 để lộ seed phrase người dùng

Vào ngày 24-25 tháng 12 năm 2025, Trust Wallet phát hành cảnh báo khẩn cấp yêu cầu người dùng Chrome ngừng sử dụng phiên bản 2.68 của tiện ích mở rộng. Công ty đã phát hiện một lỗ hổng bảo mật trong quá trình thực thi mã, khiến các seed phrase và khóa riêng tư của người dùng bị thu thập trái phép. Các báo cáo ban đầu ghi nhận tổng thiệt hại khoảng 6-7 triệu USD trên nhiều blockchain khác nhau trong vòng 48-72 giờ đầu tiên.

Tiện ích mở rộng Trust Wallet trên Chrome Web Store hiện tại có khoảng 1 triệu người dùng cài đặt. Mức độ ảnh hưởng thực tế phụ thuộc vào số lượng người đã cập nhật lên phiên bản 2.68 và nhập thông tin nhạy cảm trong thời gian lỗi tồn tại. Trust Wallet khẳng định phiên bản di động và các nền tảng khác không bị ảnh hưởng.

Cơ chế tấn công: Mã JavaScript độc hại thu thập bí mật ví

Các nhà nghiên cứu bảo mật đã phát hiện logic đáng ngờ trong gói cài đặt phiên bản 2.68. Cụ thể, trong một tập tin JavaScript chứa tham chiếu đến file “4482.js”, các nhà phân tích phát hiện ra rằng đoạn mã này có khả năng truyền seed phrase và khóa riêng tư tới một máy chủ bên ngoài.

Seed phrase là chuỗi từ khả năng mở khóa tất cả các địa chỉ hiện tại và tương lai được tạo ra từ nó. Điều này có nghĩa là, nếu seed phrase bị lộ, toàn bộ ví và tài sản trên các chuỗi khác nhau đều có nguy cơ bị rút sạch. Nhóm kiểm tra đã xác định rủi ro cao nhất đối với những người nhập hoặc khôi phục seed phrase sau khi cài đặt phiên bản bị lỗi.

Hành động cần thiết: Cập nhật không đủ, phải chuyển tài sản

Cập nhật lên phiên bản 2.69 có thể loại bỏ mã độc hại khỏi tiện ích trong tương lai, nhưng điều này không tự động bảo vệ tài sản nếu seed phrase đã bị xâm phạm trước đó.

Nếu bạn đã nhập hoặc khôi phục seed phrase khi sử dụng phiên bản 2.68, bạn nên coi seed đó đã bị lộ. Các bước khắc phục tiêu chuẩn bao gồm:

• Tạo một seed phrase mới hoàn toàn
• Chuyển tất cả tài sản sang ví mới được tạo từ seed phrase mới
• Thu hồi các phê duyệt token (token approvals) trên các smart contract nếu có thể

Những hành động này có thể tốn kém khi phải chuyển tài sản qua nhiều chuỗi khác nhau. Người dùng cần cân nhắc giữa tốc độ và chi phí gas, đặc biệt khi liên quan đến các giao dịch cầu nối cross-chain.

Những vụ lừa đảo “giả cứu trợ” đang gia tăng

Cùng thời điểm sự cố xảy ra, các chiêu trò lừa đảo thứ cấp cũng bắt đầu xuất hiện. Những kẻ lừa đảo tạo ra các miền “khắc phục sự cố” giả mạo, nhằm lừa người dùng cung cấp seed phrase dưới vỏ bọc “hỗ trợ khôi phục ví”.

Trust Wallet khuyến cáo người dùng không tương tác với bất kỳ tin nhắn nào không đến từ các kênh chính thức. Các kẻ tấn công có thể giả mạo đội ngũ hỗ trợ của Trust Wallet để tập trung các nạn nhân. Hãy luôn xác minh nguồn gốc của bất kỳ yêu cầu nào liên quan đến seed phrase.

Vấn đề rộng lớn hơn: Tiện ích mở rộng là điểm yếu trong bảo mật ví

Sự cố này nhấn mạnh một rủi ro cơ bản của tiện ích mở rộng trình duyệt. Chúng được đặt ở vị trí nhạy cảm giữa ứng dụng web và quy trình ký giao dịch, cho phép chúng can thiệp vào các thông tin mà người dùng dựa vào để xác minh giao dịch.

Các cuộc nghiên cứu học thuật về Chrome Web Store cho thấy rằng tiện ích độc hại hoặc bị xâm phạm có thể né tránh kiểm duyệt tự động. Khi các chiến thuật tấn công thay đổi theo thời gian, khả năng phát hiện cũng suy giảm. Điều này đặc biệt đáng lo ngại với các cập nhật ví, nơi mã phía khách hàng bị làm rối - làm cho việc phân tích trở nên khó khăn hơn.

Tiền lệ: Kỷ luật quy trình phân phối phần mềm

Sự cố cũng đặt lại câu hỏi về tính toàn vẹn của quá trình xây dựng và phân phối phần mềm. Các giải pháp long-term có thể bao gồm:

• Xây dựng có thể tái tạo (reproducible builds)
• Ký tách khóa (key separation)
• Quy trình hoàn nguyên rõ ràng hơn

Những biện pháp này sẽ giúp các nhà cung cấp và nền tảng xây dựng các phương pháp kiểm tra và hướng dẫn người dùng tốt hơn.

Dữ liệu thị trường: Nhà đầu tư vẫn “chờ xem”

Dù sự cố nghiêm trọng, thị trường token TWT (Trust Wallet Token) phản ánh thông tin một cách phức tạp. Theo dữ liệu cập nhật ngày 12 tháng 1 năm 2026:

• Giá hiện tại: $0.89
• Thay đổi 24h: +0.13%
• Mức cao 24h: $0.90
• Mức thấp 24h: $0.86

Sự biến động này cho thấy nhà đầu tư chưa định giá lại Token theo một chiều hướng duy nhất. Dấu hiệu lạc quan có thể xuất phát từ những cam kết hoàn tiền của Trust Wallet hoặc niềm tin vào khả năng khắc phục sự cố.

Dự báo thiệt hại: Từ $6-12 triệu đến $25 triệu+ trong 2-8 tuần tới

Các lý do thiệt hại có thể tiếp tục tăng bao gồm:

• Báo cáo trễ của nạn nhân
• Phân loại lại địa chỉ
• Cải thiện khả năng theo dõi các giao dịch hoán đổi chuỗi chéo

Một phạm vi dự báo thực tế trong 2-8 tuần tới có thể được chia thành các kịch bản:

Điều này phụ thuộc vào: liệu đường thu thập chỉ giới hạn ở việc nhập seed trên v2.68, có những đường tấn công bổ sung khác hay không, và tốc độ loại bỏ các miền giả mạo.

Dòng thời gian sự cố

• 24 tháng 12: Phiên bản 2.68 được triển khai; các báo cáo rút tiền bắt đầu xuất hiện
• 25 tháng 12: Trust Wallet phát hành phiên bản 2.69 vá lỗi
• 48-72 giờ đầu: Tổng thiệt hại được xác định khoảng 6-7 triệu USD

Khuyến cáo cuối cùng từ Trust Wallet

Công ty hiện đã xác nhận khoảng 7 triệu USD bị ảnh hưởng và cam kết hoàn tiền cho tất cả người dùng bị ảnh hưởng. Hướng dẫn từ Trust Wallet như sau:

1. Tắt tiện ích phiên bản 2.68 ngay lập tức từ Chrome
2. Cập nhật lên phiên bản 2.69 từ Chrome Web Store
3. Nếu đã nhập seed phrase khi dùng 2.68: coi seed đó đã bị xâm phạm, tạo seed mới và chuyển tài sản
4. Không tương tác với tin nhắn không chính thức - Kẻ lừa đảo có thể giả mạo đội ngũ hỗ trợ
5. Chờ hướng dẫn hoàn tiền từ các kênh chính thức

Sự cố này là một lời nhắc nhở rằng, dù tiện ích mở rộng tiện lợi, người dùng phải cân nhắc kỹ lưỡng các rủi ro bảo mật liên quan.