Trust Wallet đã xác nhận khoảng 7 triệu USD bị ảnh hưởng trong một sự cố bảo mật liên quan đến tiện ích mở rộng trình duyệt của họ.
Họ cam kết sẽ hoàn tiền đầy đủ cho tất cả người dùng bị ảnh hưởng khi họ hoàn tất các bước khắc phục.
Trong một bản cập nhật được công bố vào ngày 26 tháng 12, Trust Wallet cho biết sự cố chỉ giới hạn ở phiên bản Tiện ích mở rộng Trình duyệt 2.68. Họ xác nhận các cảnh báo trước đó từ các nhà điều tra blockchain và nhà nghiên cứu bảo mật.
Công ty nhấn mạnh rằng người dùng chỉ sử dụng thiết bị di động và tất cả các phiên bản tiện ích mở rộng khác không bị ảnh hưởng.
“Chúng tôi đã xác nhận rằng khoảng 7 triệu USD đã bị ảnh hưởng và chúng tôi sẽ đảm bảo tất cả người dùng bị ảnh hưởng được hoàn tiền,” Trust Wallet cho biết, đồng thời nói thêm rằng hỗ trợ người dùng bị ảnh hưởng là “ưu tiên hàng đầu” của họ.
Công ty cho biết họ đang tích cực hoàn tất quy trình hoàn tiền và sẽ sớm chia sẻ hướng dẫn thêm với người dùng bị ảnh hưởng.
Sự cố Trust Wallet chỉ giới hạn ở phiên bản tiện ích mở rộng 2.68
Trust Wallet trước đó đã tiết lộ rằng vấn đề bắt nguồn từ một sự cố bảo mật ảnh hưởng đến phiên bản 2.68 của tiện ích mở rộng trình duyệt Chrome của họ.
Người dùng đang chạy phiên bản đó được khuyến cáo vô hiệu hóa tiện ích mở rộng ngay lập tức và nâng cấp lên phiên bản 2.69, phiên bản mà công ty mô tả là một bản phát hành an toàn.
Sự cố này thu hút sự chú ý sau khi nhà điều tra blockchain ZachXBT cảnh báo về hoạt động đáng ngờ, với các báo cáo tiếp theo cho thấy các ví đã bị rút cạn tiền ngay sau khi người dùng nhập cụm từ khôi phục (seed phrase) vào tiện ích mở rộng.
Các nhà phát triển tập trung vào bảo mật sau đó đã cáo buộc rằng một bản cập nhật gần đây có thể đã đưa vào hành vi độc hại, làm dấy lên lo ngại về khả năng bị xâm phạm chuỗi cung ứng (supply-chain compromise).
Trust Wallet không tiết lộ chi tiết kỹ thuật về nguyên nhân gốc rễ nhưng nhấn mạnh lại rằng tác động chỉ giới hạn ở một phiên bản tiện ích mở rộng duy nhất.
Người dùng Trust Wallet được khuyên nên vô hiệu hóa tiện ích mở rộng bị ảnh hưởng
Trong hướng dẫn tiếp theo, Trust Wallet hướng dẫn người dùng có Tiện ích mở rộng Trình duyệt v2.68 tránh mở tiện ích mở rộng, vô hiệu hóa nó thông qua cài đặt tiện ích mở rộng của Chrome và cập nhật thủ công lên phiên bản 2.69.
Công ty cảnh báo người dùng không tương tác với tin nhắn hoặc hướng dẫn không xuất phát từ các kênh chính thức của họ, đồng thời cảnh báo về các scam thứ cấp tiềm ẩn có thể lợi dụng tình huống này.
Công ty cũng xác nhận rằng họ đang tiếp tục điều tra sự cố và sẽ cung cấp thêm thông tin cập nhật khi quy trình hoàn tiền được hoàn tất.
Ý nghĩa bảo mật rộng hơn
Mặc dù vấn đề dường như đã được kiểm soát, sự cố này lại làm dấy lên sự giám sát xung quanh bảo mật tiện ích mở rộng trình duyệt và rủi ro chuỗi cung ứng trong ví tiền mã hóa, đặc biệt là nơi các bản cập nhật có thể gây ra lỗ hổng bảo mật trên quy mô lớn.
Trust Wallet cho biết họ sẽ tiếp tục liên lạc với người dùng khi có thêm thông tin, đánh dấu sự cố này là một trong những sự kiện bảo mật liên quan đến ví đáng chú ý hơn được tiết lộ trong thời điểm cuối năm.
Suy nghĩ cuối cùng
- Việc xác nhận và cam kết hoàn tiền của Trust Wallet mang lại sự rõ ràng cho sự cố, nhưng tác động 7 triệu USD nhấn mạnh mức độ nhanh chóng mà lỗ hổng tiện ích mở rộng trình duyệt có thể leo thang thành tổn thất quy mô lớn.
- Sự việc này làm nổi bật các rủi ro chuỗi cung ứng đang diễn ra trong phần mềm ví tiền mã hóa, củng cố tầm quan trọng của việc cập nhật kịp thời, quản lý khóa thận trọng và giao tiếp rõ ràng trong các sự cố bảo mật.
