Cách hàng triệu người bị rút sạch: Khủng hoảng Tiện ích mở rộng trình duyệt Trust Wallet

Thiệt Hại Đầu Tiên: Những Gì Người Dùng Đã Mất

Vào tháng 12, người dùng tiện ích mở rộng trình duyệt Trust Wallet phát hiện ra điều đáng sợ—ví của họ bị rút sạch hoàn toàn. Chỉ trong vài phút sau khi nhập seed phrase, số tiền đã biến mất qua nhiều giao dịch. Đây không phải là quá trình từ từ; mà là tức thì và tự động. Hàng triệu tài sản đã được chuyển đến các địa chỉ do kẻ tấn công kiểm soát trước khi người dùng kịp phản ứng.

Tốc độ và quy mô cho thấy điều gì đó còn tồi tệ hơn phishing thông thường: kẻ tấn công đã có quyền ký tên.

Truy Ngược Lịch Sử: Làm Thế Nào Việc Bị Tấn Công Xảy Ra

Chuỗi sự kiện bắt đầu từ một bản cập nhật định kỳ vào ngày 24 tháng 12. Một phiên bản mới của tiện ích mở rộng Trust Wallet được phát hành mà không có dấu hiệu cảnh báo rõ ràng nào. Người dùng cập nhật bình thường, mong đợi các bản vá bảo mật tiêu chuẩn.

Nhưng bên trong phiên bản này lại chứa thứ gì đó độc hại.

Vũ Khí Bí Mật: Mã Được Giấu Trong Giao Diện Rõ Ràng

Các nhà nghiên cứu bảo mật phát hiện ra mã JavaScript mới (file 4482.js) được nhúng trong tiện ích mở rộng. Phần tinh quái ở chỗ? Nó được ngụy trang như là mã phân tích hoặc theo dõi telemetry—loại mã giám sát mà mọi ứng dụng đều sử dụng. Nó cũng không kích hoạt liên tục. Thay vào đó, nó nằm im cho đến khi một kích hoạt đặc biệt xảy ra.

Đối với ví trình duyệt, đây là khu vực cực kỳ nhạy cảm. Bất kỳ giao tiếp outbound bất ngờ nào từ tiện ích mở rộng ví đều tiềm ẩn rủi ro tối đa vì nó có quyền truy cập trực tiếp vào khóa riêng và chức năng ký.

Thời Điểm Kích Hoạt: Khi Seed Phrase Được Nhập Vào Ví

Mã độc chỉ kích hoạt khi người dùng nhập seed phrase vào tiện ích mở rộng. Đây chính xác là khoảnh khắc ví kiểm soát hoàn toàn số tiền của bạn. Đây là hành động một lần, có rủi ro cao—và kẻ tấn công đã tính toán thời điểm tấn công hoàn hảo.

Những người dùng chưa từng nhập seed phrase (chỉ sử dụng ví đã có) thoát khỏi cuộc tấn công. Những ai đã nhập? Họ trở thành mục tiêu.

Giao Tiếp Với Tội Phạm: Tên Miền Giả Mạo

Khi kích hoạt, mã độc được chèn đã liên lạc với một máy chủ bên ngoài: metrics-trustwallet[.]com

Tên miền này được thiết kế cố ý để trông hợp pháp—giống như một tên miền phụ của Trust Wallet chính hãng. Nhưng nó đã được đăng ký chỉ vài ngày trước, chưa từng được ghi nhận chính thức, và biến mất khỏi mạng ngay sau khi kế hoạch bị lật tẩy.

Giao tiếp outbound này chính là khoảnh khắc kẻ tấn công xác nhận họ đã cài đặt thành công payload của mình và có thể bắt đầu rút tiền khỏi ví.

Thực Thi: Ví Bị Rút Trong Thời Gian Thực

Ngay khi kẻ tấn công nhận được tín hiệu rằng seed phrase đã được nhập, họ hành động chính xác:

• Các chuỗi giao dịch tự động bắt đầu ngay lập tức
• Tài sản được chia nhỏ qua nhiều địa chỉ của kẻ tấn công
• Không cần xác nhận hay ký tên từ người dùng
• Việc hợp nhất diễn ra qua nhiều ví để phân tán dấu vết

Các nạn nhân không có cơ hội can thiệp. Đến khi họ nhận ra ví của mình đã trống rỗng, kẻ tấn công đã chuyển tiền qua hạ tầng của chúng rồi.

Tại Sao Cuộc Tấn Công Này Nguy Hiểm Đến Vậy

Sự cố này không phải là trộm ví thông thường. Nó đã tiết lộ một số lỗ hổng cực kỳ nghiêm trọng:

Tiện ích mở rộng trình duyệt có rủi ro cao: Chúng có quyền truy cập sâu hơn vào hệ thống so với ứng dụng web và có thể chặn các chức năng nhạy cảm.

Tấn công chuỗi cung ứng là có thật: Một bản cập nhật bị xâm phạm có thể ảnh hưởng đến hàng trăm nghìn người dùng cùng lúc.

Nhập seed phrase là khoảnh khắc then chốt: Đây là thời điểm ví dễ bị tổn thương nhất—kẻ tấn công đã hiểu rõ điều này và lợi dụng nó.

Tài liệu giả mạo có hiệu quả: Một tên miền giả mạo hạ tầng hợp pháp có thể che giấu hạ tầng độc hại ngay trong tầm mắt.

Những Điều Đã Được Xác Nhận

• Một phiên bản cụ thể của tiện ích mở rộng Trust Wallet chứa mã chèn
• Người dùng mất số tiền lớn ngay sau khi nhập seed phrase
• Tên miền độc hại đã biến mất sau khi bị phát hiện
• Trust Wallet chính thức xác nhận đã xảy ra sự cố bảo mật
• Cuộc tấn công chỉ giới hạn trong tiện ích mở rộng trình duyệt; người dùng di động không bị ảnh hưởng

Những Điều Chưa Rõ Ràng

• Liệu đây có phải là tấn công chuỗi cung ứng hay là phá hoại có chủ đích
• Số lượng người dùng bị ảnh hưởng chính xác là bao nhiêu
• Tổng số tiền bị rút ra toàn cầu là bao nhiêu
• Seed phrase có bị thu thập để tấn công trong tương lai không
• Ai là người tổ chức cuộc tấn công

Bài Học: Đừng Tin Tưởng Một Cách Mù Quáng

Sự cố này đã phơi bày thực tế về an ninh crypto năm 2024: ngay cả các ứng dụng đã được thiết lập cũng có thể bị xâm phạm. Tiện ích mở rộng trình duyệt đặc biệt nguy hiểm vì chúng hoạt động trong không gian nhạy cảm giữa máy tính của bạn và tài sản của bạn.

Người dùng nên coi việc nhập seed phrase là khoảnh khắc bảo mật quan trọng nhất. Mọi bản cập nhật đều cần thận trọng. Và luôn duy trì nhiều lớp bảo vệ thay vì chỉ dựa vào một công cụ duy nhất.

Sự cố Trust Wallet chứng minh rằng ngay cả hàng triệu người dùng và một thương hiệu nổi tiếng cũng không thể đảm bảo an toàn. Sự cảnh giác mới là biện pháp an ninh thực sự.