Lỗ hổng mở rộng Trust Wallet: 4,3 triệu đô la biến mất khi cập nhật Chrome gặp sự cố

Một sự cố an ninh nghiêm trọng đã ảnh hưởng đến người dùng Trust Wallet sau khi phát hành phiên bản tiện ích Chrome 2.68.0 vào cuối tháng 12. Trong vòng vài giờ sau khi triển khai cập nhật, nhiều tài khoản đã trải qua việc rút tiền nhanh chóng từ các loại tiền điện tử lớn như Bitcoin, Ethereum và BNB. Sự vi phạm này đã làm lộ ra điểm yếu của các giải pháp ví dựa trên trình duyệt và đặt ra những câu hỏi nghiêm trọng về các giao thức bảo mật đằng sau các bản cập nhật ví.

Các khoản rút tiền diễn ra với tốc độ nhanh

Nhà điều tra on-chain ZachXBT đã ghi lại hậu quả của một cuộc tấn công có vẻ như đã được phối hợp. Số dư ví giảm mạnh ngay sau khi các cụm từ khởi tạo được nhập vào tiện ích mở rộng cập nhật. Khác với các khoản rút tiền từ từ thông thường, các giao dịch này không có giai đoạn hoặc thời gian trì hoãn. Thay vào đó, các kẻ khai thác đã nhanh chóng chuyển các tài sản bị đánh cắp qua nhiều địa chỉ nhận, tạo thành một mô hình định tuyến phức tạp liên kết nhiều ví bị xâm phạm lại với nhau.

Phạm vi tấn công rõ ràng là rộng. Các chủ sở hữu Bitcoin, Ethereum và BNB đều báo cáo mất mát, với dữ liệu blockchain cho thấy các cấu trúc giao dịch nhất quán trong các trường hợp được báo cáo. Khoảng thời gian khai thác dường như tập trung vào những giờ ngay sau khi phát hành tiện ích mở rộng, cho thấy các hacker đã dự đoán được điểm yếu hoặc hành động chính xác dựa trên phát hiện của nó.

Dấu vết trên chuỗi cho thấy thiệt hại hơn 4,3 triệu đô la

Phân tích blockchain cho thấy hơn 4,3 triệu đô la tài sản đã chảy ra khỏi các ví bị ảnh hưởng. Con số này, lấy từ các giao dịch trên chuỗi công khai theo dõi bởi ARKHAM, đại diện cho mức thiệt hại tối thiểu đã được ghi nhận dựa trên các vụ xâm phạm tài khoản được báo cáo. Phạm vi thực tế của sự cố có thể lớn hơn khi có thêm người dùng bị ảnh hưởng lên tiếng.

Cuộc điều tra của ZachXBT đã xác định một số địa chỉ ví hoạt động như các điểm tập trung cho các khoản tiền bị đánh cắp:

• 0x3b09A3c9aDD7D0262e6E9724D7e823Cd767a0c74
• 0x463452C356322D463B84891eBDa33DAED274cB40
• 0xa42297ff42a3b65091967945131cd1db962afae4

Các địa chỉ này đã nhận các giao dịch từ hàng chục ví bị xâm phạm, cho thấy hoặc là các hacker lợi dụng cơ hội hoặc là một hoạt động trộm cắp có tổ chức hơn, tận dụng điểm yếu một cách có hệ thống.

Sự im lặng của Trust Wallet và các câu hỏi đặt ra

Tính đến thời điểm báo chí, Trust Wallet chưa đưa ra bất kỳ tuyên bố chính thức nào công khai thừa nhận vụ vi phạm hoặc giải quyết các người dùng bị ảnh hưởng. Công ty cũng chưa xác nhận liệu bản cập nhật tiện ích Chrome có phải là nguyên nhân trực tiếp hay cung cấp các chiến lược giảm thiểu thiệt hại. Chưa có hướng dẫn khôi phục hoặc các bước khắc phục nào được công bố.

Việc thiếu minh bạch này làm dấy lên lo ngại về việc các nhà phát triển có hiểu rõ các rủi ro do phiên bản 2.68.0 mang lại hay không. Thời điểm xảy ra sự cố tập trung vào ngày 24 tháng 12, khi bản cập nhật gây vấn đề chính thức đi vào hoạt động, mặc dù điểm yếu kỹ thuật chính đằng sau các khoản rút tiền chưa được nền tảng giải thích rõ ràng.

Đối với người dùng giữ tài sản trong Trust Wallet hoặc các tiện ích mở rộng trình duyệt tương tự, sự cố này nhấn mạnh tầm quan trọng của việc xem xét các thực hành bảo mật trước và sau các bản cập nhật lớn.