- Tiện ích mở rộng Trust Wallet phiên bản 2.68 liên quan đến nghi ngờ bị xâm phạm chuỗi cung ứng sau bản cập nhật ngày 24 tháng 12.
- Người dùng báo cáo về việc ví bị rút tiền sau khi nhập seed phrase; thiệt hại ước tính trên 6 triệu đô la.
- Trust Wallet đã xác nhận vấn đề, khuyến nghị cập nhật lên phiên bản 2.69; Ứng dụng di động không bị ảnh hưởng.
Các vấn đề về bảo mật đã xuất hiện xung quanh tiện ích mở rộng trình duyệt Trust Wallet sau các báo cáo liên quan đến bản cập nhật gần đây với khả năng truy cập trái phép và rút tiền từ ví, gây ra cảnh báo từ các nhà nghiên cứu blockchain và nhà phát triển tập trung vào bảo mật. Sự cố đã thu hút sự chú ý đến phiên bản 2.68 của tiện ích mở rộng, sau đó được Trust Wallet xác nhận.
Vấn đề phát sinh sau thông báo từ nhà điều tra blockchain ZachXBT, người cho biết đã nhận được tin nhắn từ hàng trăm người dùng khẳng định rằng số dư ví của họ đã giảm sau khi nhập seed phrase vào tiện ích mở rộng trình duyệt.
Theo các đánh giá kỹ thuật được các nhà phát triển công bố, bản cập nhật tiện ích mở rộng cho trình duyệt phát hành ngày 24 tháng 12 có thể đã dẫn đến việc tiêm mã độc thông qua nghi ngờ xâm phạm chuỗi cung ứng.
Các nhà nghiên cứu xem xét bản cập nhật khẳng định rằng một tệp JavaScript mới được thêm vào đã được nhúng vào tiện ích mở rộng và dường như được ngụy trang dưới chức năng phân tích. Theo báo cáo, tệp chỉ được kích hoạt khi nhập seed phrase, sau đó truyền dữ liệu nhạy cảm liên quan đến ví đến một tên miền bên ngoài được thiết kế giống với cơ sở hạ tầng chính thức của Trust Wallet.
Các chỉ số của khả năng xâm phạm chuỗi cung ứng
Tên miền bên ngoài được đề cập trong các báo cáo đã được đăng ký chỉ vài ngày trước sự cố và sau đó đã ngoại tuyến. Các nhà phân tích lưu ý rằng việc tạo tên miền gần đây kết hợp với thời gian cập nhật đã gây lo ngại rằng sự cố có thể là kết quả của một cuộc tấn công có phối hợp vào chuỗi cung ứng, chứ không phải các nỗ lực lừa đảo đơn lẻ hoặc lỗi của người dùng.
Phân tích on-chain mà các nhà nghiên cứu cộng đồng tham chiếu cho thấy rằng các khoản tiền bị xâm phạm đã đi qua nhiều địa chỉ. Theo họ, mô hình này thường được liên kết với các phương pháp khai thác tự động. Các ước tính công khai được đăng trên internet cho rằng thiệt hại có thể vượt quá 6 triệu đô la, mặc dù những con số này chưa được xác nhận độc lập.
Trust Wallet xác nhận phạm vi và khắc phục sự cố
Sau đó, vào ngày 25 tháng 12, Trust Wallet xác nhận rằng sự cố bảo mật chỉ giới hạn ở tiện ích mở rộng trình duyệt phiên bản 2.68. Trong tuyên bố, công ty khuyến nghị người dùng ngay lập tức vô hiệu hóa phiên bản này và cập nhật lên phiên bản 2.69, mà theo họ có chứa bản sửa lỗi. Trust Wallet cho biết thêm rằng không có phiên bản nào khác của tiện ích mở rộng trình duyệt và không có ứng dụng di động nào của họ bị ảnh hưởng.
Công ty cũng tuyên bố rằng dịch vụ hỗ trợ của họ đã bắt đầu liên lạc với người dùng bị ảnh hưởng và đang điều tra sự cố. Không có chi tiết về nguyên nhân kỹ thuật hoặc khả năng bồi thường được cung cấp.
Liên quan: Trust Wallet khôi phục số dư sau sự cố đồng bộ hóa dữ liệu; Quỹ an toàn
Tuyên bố miễn trừ trách nhiệm: Thông tin được trình bày trong bài viết này chỉ nhằm mục đích thông tin và giáo dục. Bài viết không cấu thành tư vấn tài chính hoặc bất kỳ loại tư vấn nào. Coin Edition không chịu trách nhiệm về bất kỳ tổn thất nào phát sinh do sử dụng nội dung, sản phẩm hoặc dịch vụ được đề cập. Người đọc nên thận trọng trước khi thực hiện bất kỳ hành động nào liên quan đến công ty.
Nguồn: https://coinedition.com/trust-wallet-%D0%BF%D0%BE%D0%B4%D1%82%D0%B2%D0%B5%D1%80%D0%B4%D0%B8%D0%BB-%D0%BF%D1%80%D0%BE%D0%B1%D0%BB%D0%B5%D0%BC%D1%83-%D1%81-%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82/
