Trust Wallet xác nhận khoảng 7 triệu USD tiền mã hóa đã bị stolen through a compromised browser extension update.
Sự cố affected chỉ đối với phiên bản 2.68 của tiện ích mở rộng Chrome, được released ngày 24/12.
Theo công ty, người dùng ví trên di động không bị ảnh hưởng.
Changpeng Zhao, nhà sáng lập Binance, đơn vị sở hữu Trust Wallet, cho biết ví sẽ bồi thường toàn bộ cho người dùng bị ảnh hưởng.
“Đến giờ, 7 triệu USD bị ảnh hưởng bởi vụ hack này. Trust Wallet sẽ chi trả. Tiền của người dùng vẫn SAFU”, Zhao viết trên X.
Chuyện gì đã xảy ra
Nhà điều tra blockchain ZachXBT là người đầu tiên phát hiện vụ việc ngày 25/12 sau khi nhận được báo cáo về việc tiền bị rút nhanh khỏi ví Trust Wallet của người dùng.
Các khoản thất thoát diễn ra trong vòng vài giờ sau bản cập nhật tiện ích, cho thấy dấu hiệu của một cuộc tấn công chuỗi cung ứng.
Công ty an ninh SlowMist phân tích mã độc và phát hiện nó được chèn trực tiếp vào mã nguồn của Trust Wallet thay vì thông qua một thư viện bên thứ ba bị xâm phạm.
Mã backdoor thu thập seed phrase được mã hóa của người dùng khi ví được mở khóa, sau đó sent dữ liệu tới một tên miền do kẻ tấn công kiểm soát, được đăng ký ngày 8/12.
Phân tích của SlowMist cho thấy kẻ tấn công đã chuẩn bị ít nhất hai tuần trước khi bản cập nhật độc hại được triển khai.
Số tiền bị đánh cắp bao gồm Bitcoin, Ethereum và nhiều tài sản trên nhiều mạng blockchain khác nhau.
Một số người dùng cho biết họ mất hơn 300.000 USD chỉ trong vài phút sau khi truy cập ví.
Trust Wallet ngay lập tức kêu gọi người dùng vô hiệu hóa phiên bản 2.68 và cập nhật lên phiên bản đã vá lỗi 2.69 thông qua Chrome Web Store chính thức.
Đọc thêm: Bitcoin's 2019-Like Setup Points To Extended Macro Headwinds, Says Analyst
Vì sao vụ việc quan trọng
Sự cố cho thấy các lỗ hổng bảo mật dai dẳng trong ví tiền mã hóa dựa trên trình duyệt, bất chấp nỗ lực của ngành nhằm tăng cường bảo vệ.
Khác với những vụ tấn công nhắm vào từng người dùng qua lừa đảo phishing, cuộc tấn công này xâm nhập vào kênh phân phối chính thức của Trust Wallet, ảnh hưởng cả những người dùng tuân thủ đúng thực hành bảo mật.
Các cuộc tấn công chuỗi cung ứng nhắm vào hạ tầng tiền mã hóa đã tăng mạnh trong năm 2024.
Công ty an ninh blockchain Chainalysis reported rằng tổng giá trị tiền mã hóa bị đánh cắp đã vượt 3,41 tỷ USD tính tới đầu tháng 12, so với 3,38 tỷ USD của cả năm 2023.
Vụ rò rỉ của Trust Wallet là sự cố an ninh nghiêm trọng thứ hai đối với tiện ích mở rộng trình duyệt của ví này.
Năm 2023, đội ngũ bảo mật của nhà sản xuất ví cứng Ledger phát hiện một lỗ hổng nghiêm trọng trong tiện ích Chrome của Trust Wallet, khiến mức độ an toàn giảm từ 256 bit xuống chỉ còn 32 bit entropy.
Giám đốc công nghệ của Ledger, Charles Guillemet, cho biết lỗ hổng năm 2023 có thể cho phép kẻ tấn công rút sạch ví mà không cần bất kỳ tương tác nào từ người dùng.
Lỗ hổng đó đã được phát hiện và vá trước khi bị khai thác trên diện rộng.
Sự cố mới nhất nhấn mạnh lý do vì sao ví cứng, lưu trữ khóa riêng ngoại tuyến, vẫn là lựa chọn an toàn nhất cho những khoản nắm giữ tiền mã hóa lớn.
Tiện ích mở rộng trình duyệt đòi hỏi nhiều quyền truy cập hệ thống và phụ thuộc vào bảo mật của cả mã tiện ích lẫn máy tính người dùng, tạo ra nhiều điểm có thể bị tấn công.
Đọc thêm: SHIB Price Defies 5,000% Long-Biased Liquidation Wave