404 Not Found
Writer
Đêm Giáng sinh vừa qua đã trở thành một thảm họa tài chính khi hơn 7 triệu USD bất ngờ bốc hơi khỏi ví Trust Wallet của hàng trăm người dùng. Điều kinh khủng nhất của vụ việc này không nằm ở các trang web lừa đảo thông thường, mà ở chỗ mã độc được nhúng trực tiếp vào bản cập nhật chính thức trên trình duyệt Chrome. Đây là một cuộc tấn công chuỗi cung ứng tàn khốc, biến chính công cụ bảo mật mà người dùng tin tưởng nhất thành vũ khí để tin tặc rút sạch tài sản chỉ trong vài phút ngắn ngủi.
Sự nguy hiểm nằm ở cơ chế cập nhật tự động của các tiện ích trên máy tính. Khi phiên bản lỗi 2.68.0 được phát hành, mã độc đã âm thầm kích hoạt và theo dõi mọi thao tác nhạy cảm. Chỉ cần người dùng mở ví hoặc nhập cụm từ khôi phục (seed phrase), thông tin ngay lập tức bị gửi về máy chủ của tin tặc mà không để lại bất kỳ dấu vết hay cảnh báo nào. Những khoản thiệt hại cá nhân lên tới 300.000 USD đã cho thấy sức tàn phá khủng khiếp của cuộc tấn công khi các đồng tiền lớn như Bitcoin, Ethereum hay Solana bị quét sạch trong tích tắc.
Trong lúc người dùng hoang mang tìm cách khắc phục, các đối tượng tấn công còn triển khai thêm chiến dịch lừa đảo. Nhiều website giả mạo Trust Wallet xuất hiện, quảng bá các bản “vá lỗi khẩn cấp” nhưng thực chất nhằm dụ người dùng nhập seed phrase, từ đó chiếm toàn quyền kiểm soát ví.
Ngày 25/12, Trust Wallet chính thức thừa nhận sự cố và cho biết chỉ phiên bản tiện ích Chrome 2.68.0 bị ảnh hưởng. Công ty đã phát hành phiên bản 2.69 để khắc phục lỗ hổng, đồng thời khuyến cáo người dùng desktop tạm thời tắt tiện ích, cập nhật ngay lên phiên bản mới và không tương tác với các liên kết hỗ trợ không chính thức.
Trust Wallet cam kết hoàn tiền cho các nạn nhân bị ảnh hưởng và khẳng định ứng dụng di động không nằm trong phạm vi sự cố. Nhà sáng lập Binance Changpeng Zhao cũng lên tiếng trấn an rằng người dùng sẽ được bồi hoàn đầy đủ.
Sự cố lần này tiếp tục gióng lên hồi chuông cảnh báo về rủi ro an ninh đối với các ví tiền điện tử trên trình duyệt, đặc biệt trong bối cảnh các cuộc tấn công chuỗi cung ứng ngày càng gia tăng và gây thiệt hại lớn cho người dùng trên toàn cầu.
Sự nguy hiểm nằm ở cơ chế cập nhật tự động của các tiện ích trên máy tính. Khi phiên bản lỗi 2.68.0 được phát hành, mã độc đã âm thầm kích hoạt và theo dõi mọi thao tác nhạy cảm. Chỉ cần người dùng mở ví hoặc nhập cụm từ khôi phục (seed phrase), thông tin ngay lập tức bị gửi về máy chủ của tin tặc mà không để lại bất kỳ dấu vết hay cảnh báo nào. Những khoản thiệt hại cá nhân lên tới 300.000 USD đã cho thấy sức tàn phá khủng khiếp của cuộc tấn công khi các đồng tiền lớn như Bitcoin, Ethereum hay Solana bị quét sạch trong tích tắc.
Trong lúc người dùng hoang mang tìm cách khắc phục, các đối tượng tấn công còn triển khai thêm chiến dịch lừa đảo. Nhiều website giả mạo Trust Wallet xuất hiện, quảng bá các bản “vá lỗi khẩn cấp” nhưng thực chất nhằm dụ người dùng nhập seed phrase, từ đó chiếm toàn quyền kiểm soát ví.
Ngày 25/12, Trust Wallet chính thức thừa nhận sự cố và cho biết chỉ phiên bản tiện ích Chrome 2.68.0 bị ảnh hưởng. Công ty đã phát hành phiên bản 2.69 để khắc phục lỗ hổng, đồng thời khuyến cáo người dùng desktop tạm thời tắt tiện ích, cập nhật ngay lên phiên bản mới và không tương tác với các liên kết hỗ trợ không chính thức.
Trust Wallet cam kết hoàn tiền cho các nạn nhân bị ảnh hưởng và khẳng định ứng dụng di động không nằm trong phạm vi sự cố. Nhà sáng lập Binance Changpeng Zhao cũng lên tiếng trấn an rằng người dùng sẽ được bồi hoàn đầy đủ.
Sự cố lần này tiếp tục gióng lên hồi chuông cảnh báo về rủi ro an ninh đối với các ví tiền điện tử trên trình duyệt, đặc biệt trong bối cảnh các cuộc tấn công chuỗi cung ứng ngày càng gia tăng và gây thiệt hại lớn cho người dùng trên toàn cầu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
