Vào ngày 25 tháng 12, những lo ngại về bảo mật đã nổi lên xung quanh tiện ích mở rộng trình duyệt Trust Wallet, sau khi nhà điều tra blockchain ZachXBT cảnh báo hoạt động đáng ngờ có khả năng liên quan đến một bản cập nhật gần đây, thúc đẩy các cảnh báo từ nhà phát triển và các tài khoản tập trung vào bảo mật.
Theo các bài đăng lan truyền trên X, vấn đề có thể bắt nguồn từ việc nghi ngờ chuỗi cung ứng bị xâm phạm được đưa vào trong bản cập nhật tiện ích trình duyệt ngày 24 tháng 12.
Mã mới được thêm vào trong tiện ích có thể âm thầm lấy dữ liệu ví nhạy cảm khi người dùng nhập cụm seed phrase. Các cáo buộc cho rằng điều này đã dẫn đến việc ví bị rút sạch ngay lập tức.
Cáo buộc mã độc Trust Wallet và cáo buộc đánh cắp dữ liệu
Các nhà phát triển kiểm tra tiện ích cáo buộc rằng một tập tin JavaScript được thêm vào trong bản cập nhật có chứa logic được ngụy trang dưới dạng phân tích.
Mã này được cho là kích hoạt cụ thể khi một cụm seed phrase được nhập vào. Sau đó, nó âm thầm truyền dữ liệu liên quan đến ví đến một tên miền bên ngoài được thiết kế để giống với cơ sở hạ tầng chính thức của Trust Wallet.
Tên miền được nhắc đến trong các báo cáo được cho là chỉ được đăng ký vài ngày trước và hiện đã ngừng hoạt động.
Các nhà nghiên cứu lập luận rằng việc tạo ra gần đây và thời điểm của bản cập nhật tiện ích làm dấy lên lo ngại về một cuộc tấn công chuỗi cung ứng có phối hợp hơn là lừa đảo từ phía người dùng.
Người dùng báo cáo ví bị rút sạch sau khi nhập seed phrase
Nhiều người dùng đã báo cáo rằng ví của họ bị rút sạch ngay sau khi nhập cụm seed phrase vào tiện ích mở rộng trình duyệt Trust Wallet.
Các ước tính được chia sẻ công khai cho thấy có thể đã mất hơn 2 triệu đô la. Mặc dù những con số này chưa được xác minh độc lập.
Các nhà phân tích chỉ ra rằng các khoản tiền đã được chuyển qua nhiều địa chỉ, một mẫu hình thường liên quan đến khai thác tự động hơn là lỗi của người dùng riêng lẻ.
Phạm vi dường như chỉ giới hạn ở tiện ích trình duyệt
Ở giai đoạn này, không có dấu hiệu nào cho thấy ứng dụng di động của Trust Wallet bị ảnh hưởng.
Các cảnh báo đang lan truyền trên mạng tập trung cụ thể vào tiện ích mở rộng trình duyệt. Đây là nơi cơ chế cập nhật và các phụ thuộc của bên thứ ba tiềm ẩn rủi ro chuỗi cung ứng cao hơn.
Người dùng được khuyến cáo không nhập cụm seed phrase vào tiện ích mở rộng trình duyệt Trust Wallet cho đến khi có thông tin làm rõ thêm.
Chưa có phản hồi chính thức từ Trust Wallet
Tính đến thời điểm viết bài, Trust Wallet vẫn chưa đưa ra bất kỳ phản hồi, làm rõ hoặc khuyến nghị bảo mật công khai nào về các cáo buộc.
Không có xác nhận hoặc phủ nhận nào về các cáo buộc, cũng như không có thông báo nào về việc mở rộng, khôi phục hoặc bản vá khẩn cấp.
Cuộc điều tra đang diễn ra
Các nhà nghiên cứu nhấn mạnh rằng tình hình vẫn đang được điều tra tích cực. Không nên đưa ra kết luận cho đến khi mã tiện ích mở rộng và hoạt động trên chuỗi liên quan được xem xét đầy đủ.
Nếu được xác nhận, sự việc này sẽ đại diện cho một sự xâm phạm nghiêm trọng đến chuỗi cung ứng.
Đây là một loại hình tấn công khác biệt đáng kể so với lừa đảo hoặc lỗi từ phía người dùng. Hơn nữa, nó từng dẫn đến những tổn thất nhanh chóng và trên quy mô lớn trong hệ sinh thái tiền điện tử.
Suy nghĩ cuối cùng
- Các cáo buộc chỉ ra một rủi ro chuỗi cung ứng nghiêm trọng tiềm tàng ảnh hưởng đến các tiện ích mở rộng ví, nhấn mạnh cách các bản cập nhật mã có thể trở thành một vectơ tấn công quan trọng nếu bị xâm phạm.
- Với việc chưa có phản hồi từ Trust Wallet, người dùng và các nhà nghiên cứu buộc phải dựa vào các cuộc điều tra độc lập trong khi sự giám sát xung quanh sự việc vẫn tiếp diễn.
