Trust Wallet Đối Mặt Với Làn Sóng Khiếu Nại Gian Lận Sau Vụ Hack Tiện Ích Mở Rộng Chrome Trị Giá 7 Triệu USD

CEO Eowyn Chen tiết lộ vào thứ Hai rằng Trust Wallet đã xác định được 2.596 địa chỉ ví bị xâm phạm từ vụ tấn công ngày 24 tháng 12. Tuy nhiên, công ty đã nhận được gần 5.000 khiếu nại yêu cầu hoàn trả—sự chênh lệch này cho thấy có nhiều hồ sơ gian lận được gửi.

"Vì lý do này, xác minh chính xác quyền sở hữu ví là rất quan trọng để đảm bảo tiền được trả lại đúng người," Chen tuyên bố. "Đội ngũ của chúng tôi đang làm việc chăm chỉ để xác minh các khiếu nại; kết hợp nhiều dữ liệu để phân biệt nạn nhân hợp pháp với các đối tượng độc hại."

Khoảng cách lớn giữa số nạn nhân thực tế và tổng số khiếu nại đã buộc Trust Wallet phải từ bỏ tốc độ để ưu tiên độ chính xác, đánh dấu một sự chuyển đổi hoạt động đáng kể trong một trong những sự cố bảo mật tiền mã hóa đáng chú ý nhất trong năm.

Cách Thức Diễn Ra Cuộc Tấn Công

Vụ vi phạm bắt đầu khi kẻ tấn công có được khoá API Chrome Web Store bị rò rỉ, cho phép chúng vượt qua các kiểm tra bảo mật nội bộ của Trust Wallet. Vào ngày 24 tháng 12 lúc 12:32 chiều UTC, phiên bản 2.68 bị xâm phạm của tiện ích mở rộng Chrome đã được phát hành trên cửa hàng chính thức của Google.

Theo phân tích của công ty bảo mật blockchain SlowMist, mã độc được ẩn cẩn thận bên trong thư viện phân tích đã được sửa đổi có tên posthog-js. Khi người dùng mở khóa ví của họ, mã này bí mật trích xuất cụm từ khôi phục—chìa khóa chính của ví tiền mã hóa—và gửi chúng đến máy chủ do kẻ tấn công kiểm soát.

Tên miền được sử dụng để thu thập dữ liệu bị đánh cắp, "api.metrics-trustwallet.com," được đăng ký vào ngày 8 tháng 12, cho thấy cuộc tấn công đã được lên kế hoạch ít nhất hai tuần trước. Nhà điều tra tiền mã hóa ZachXBT đầu tiên phát hiện vấn đề vào ngày Giáng sinh sau khi hàng trăm người dùng báo cáo ví bị rút sạch.

Nguồn: @EowynChen

Trust Wallet đã phát hành phiên bản sửa lỗi 2.69 vào ngày 25 tháng 12. Vụ vi phạm chỉ ảnh hưởng đến người dùng tiện ích mở rộng Chrome đã đăng nhập trước ngày 26 tháng 12 lúc 11 giờ sáng UTC. Người dùng ứng dụng di động và các phiên bản trình duyệt khác vẫn an toàn.

Câu Hỏi Về Nội Bộ

Nhiều nhân vật trong ngành đã nêu lên lo ngại về khả năng có sự tham gia của nội bộ trong vụ tấn công. Đồng sáng lập Binance Changpeng Zhao, công ty sở hữu Trust Wallet, cho biết vụ khai thác "rất có thể" được thực hiện bởi một người nội bộ, mặc dù ông không cung cấp thêm bằng chứng.

Đồng sáng lập SlowMist Yu Xian lưu ý rằng kẻ tấn công đã thể hiện kiến thức chi tiết về mã nguồn của tiện ích mở rộng và đã chuẩn bị cơ sở hạ tầng trước nhiều tuần trước khi thực hiện vụ trộm. Khả năng có được và lạm dụng khoá API Chrome Web Store cho thấy thiết bị của nhà phát triển bị xâm phạm hoặc quyền triển khai bị đánh cắp.

Chen xác nhận công ty đang tiến hành điều tra pháp y rộng hơn song song với quy trình bồi thường nhưng chưa xác nhận liệu nội bộ có liên quan hay không.

Tiền Bị Đánh Cắp Và Rửa Tiền

Cuộc tấn công dẫn đến thiệt hại khoảng 7 triệu đô la trên nhiều loại tiền mã hóa, bao gồm Bitcoin, Ethereum và Solana. Công ty bảo mật Blockchain PeckShield đã theo dõi hơn 4 triệu đô la tiền bị đánh cắp di chuyển qua các sàn giao dịch tập trung như ChangeNOW, FixedFloat và KuCoin. Khoảng 2,8 triệu đô la vẫn còn trong các ví do kẻ tấn công kiểm soát tính đến ngày 26 tháng 12.

Sự di chuyển nhanh chóng của tiền qua nhiều sàn giao dịch và mạng blockchain đã làm phức tạp nỗ lực khôi phục và khiến việc truy tìm kẻ tấn công trở nên khó khăn hơn.

Quy Trình Bồi Thường Đang Được Giám Sát

Người sáng lập Binance Zhao đã cam kết bồi thường tất cả các khoản lỗ đã được xác minh, tuyên bố "tiền của người dùng là SAFU"—một thuật ngữ trong ngành công nghiệp tiền mã hóa có nghĩa là "Quỹ Tài Sản An Toàn Cho Người Dùng". Tuy nhiên, quy trình xác minh đã trở nên phức tạp hơn dự kiến ban đầu.

Trust Wallet yêu cầu người dùng bị ảnh hưởng gửi thông tin chi tiết qua biểu mẫu hỗ trợ chính thức, bao gồm địa chỉ Email, địa chỉ ví bị xâm phạm, địa chỉ kẻ tấn công và băm giao dịch. Công ty nhấn mạnh rằng độ chính xác hiện được ưu tiên hơn tốc độ.

Sự gia tăng các khiếu nại giả làm nổi bật một vấn đề tái diễn trong các sự cố bảo mật tiền mã hóa. Trong khi tính minh bạch của blockchain cho phép các sự cố được truy tìm, việc liên kết địa chỉ ví với người dùng đã xác minh mà không có hồ sơ tập trung vẫn là thách thức. Sự căng thẳng này trở nên trầm trọng khi có hàng triệu đô la đang bị đe dọa.

Chen cho biết đội ngũ đang kết hợp nhiều phương pháp xác minh để đánh giá các khiếu nại nhưng không nêu chi tiết các tiêu chí cụ thể đang được sử dụng. Giai đoạn xác minh đánh dấu một bài kiểm tra quan trọng về việc liệu Trust Wallet có thể lọc thành công các hồ sơ gian lận trong khi duy trì niềm tin giữa các nạn nhân thực sự hay không.

Cảnh Báo Về Các Trò Lừa Đảo Thứ Cấp

Trust Wallet đã đưa ra cảnh báo khẩn cấp về những kẻ lừa đảo đang lợi dụng tình hình. Công ty báo cáo đã thấy các biểu mẫu bồi thường giả được lan truyền qua quảng cáo Telegram, tài khoản hỗ trợ giả mạo và tin nhắn trực tiếp yêu cầu khóa riêng tư hoặc cụm từ khôi phục.

Quy trình bồi thường chính thức không bao giờ yêu cầu mật khẩu, khóa riêng tư hoặc cụm từ khôi phục. Người dùng chỉ nên gửi khiếu nại thông qua cổng hỗ trợ đã xác minh của Trust Wallet tại trustwallet-support.freshdesk.com. Bất kỳ thông tin liên lạc nào khác tuyên bố cung cấp hoàn trả nên được coi là gian lận.

Làn sóng lừa đảo thứ cấp này thêm một lớp rủi ro khác cho các nạn nhân đã phải đối mặt với tiền bị đánh cắp. Công ty nhấn mạnh rằng người dùng nên xác minh tất cả thông tin liên lạc đến từ các kênh chính thức của Trust Wallet trước khi thực hiện bất kỳ hành động nào.

Tác Động Bảo Mật Rộng Hơn

Sự cố Trust Wallet phù hợp với một mô hình lớn hơn của các cuộc tấn công chuỗi cung ứng nhắm vào người dùng tiền mã hóa trong năm 2024. Theo dữ liệu của Chainalysis, hành vi trộm cắp tiền mã hóa đã đạt 6,75 tỷ đô la trong năm 2024, với số vụ xâm phạm ví cá nhân tăng vọt lên 158.000 từ 64.000 năm trước.

Các tiện ích mở rộng trình duyệt đặt ra những thách thức bảo mật độc đáo vì chúng hoạt động với quyền nâng cao và có thể truy cập dữ liệu người dùng nhạy cảm. Một bản cập nhật bị xâm phạm có thể ảnh hưởng đến hàng trăm nghìn người dùng trong vòng vài giờ.

Sự cố này cũng chứng minh cách các quy trình xác minh yếu có thể biến một lỗ hổng bảo mật đơn lẻ thành nhiều vấn đề. Trust Wallet bây giờ phải dành nguồn lực đáng kể để lọc các khiếu nại giả trong khi các nạn nhân thực sự chờ đợi bồi thường.

Tiện ích mở rộng Chrome của Trust Wallet có khoảng một triệu người dùng theo danh sách chính thức của nó, mặc dù mức độ ảnh hưởng thực tế phụ thuộc vào số người đã cài đặt phiên bản 2.68 và nhập dữ liệu nhạy cảm trong khoảng thời gian dễ bị tổn thương.

Con Đường Phía Trước

Trust Wallet đã thực hiện một số bước để ngăn chặn các sự cố trong tương lai. Công ty đã hết hạn tất cả các API phát hành để chặn các bản cập nhật phiên bản trái phép trong hai tuần tới. Tên miền độc hại được sử dụng để thu thập dữ liệu bị đánh cắp đã được báo cáo cho đơn vị đăng ký của nó và ngay lập tức bị đình chỉ.

Tuy nhiên, vẫn còn câu hỏi về cách kẻ tấn công có được khoá API Chrome Web Store và liệu các biện pháp bảo mật bổ sung có được thực hiện hay không. Cuộc điều tra pháp y đang diễn ra có thể cung cấp câu trả lời, nhưng Trust Wallet chưa công bố các thay đổi cụ thể cho quy trình phát hành của mình.

Đối với người dùng tiền mã hóa, sự cố này nhấn mạnh tầm quan trọng của việc xử lý các bản cập nhật ví với sự thận trọng tối đa. Các chuyên gia bảo mật khuyến nghị chờ xác nhận từ cộng đồng trước khi cài đặt bản cập nhật và xem xét ví phần cứng cho các khoản nắm giữ đáng kể.

Quy trình bồi thường tiếp tục khi Trust Wallet xử lý hàng nghìn khiếu nại. Khả năng xác định chính xác các nạn nhân hợp pháp của công ty trong khi chặn các hồ sơ gian lận có thể sẽ ảnh hưởng đến cách các nhà cung cấp ví khác xử lý các sự cố bảo mật trong tương lai.

Kiểm Tra Thực Tế

Vụ vi phạm Trust Wallet phơi bày hai lỗ hổng quan trọng trong bảo mật tiền mã hóa: các cuộc tấn công chuỗi cung ứng có thể vượt qua ngay cả các hệ thống bảo mật được thiết kế tốt, và các quy trình bồi thường chính chúng trở thành mục tiêu cho gian lận. Khi Trust Wallet điều hướng xác minh gần 5.000 khiếu nại cho 2.596 nạn nhân thực tế, sự cố này là lời nhắc nhở tốn kém rằng trong bảo mật tiền mã hóa, việc dọn dẹp có thể khó khăn như chính vụ vi phạm.