Một bản cập nhật tiện ích mở rộng Chrome thông thường đã trở thành khởi đầu cho một vụ đánh cắp tài sản tiền mã hóa quy mô lớn. Ngày 24 tháng 12, Trust Wallet phát hành bản cập nhật tiện ích mở rộng Chrome, phiên bản 2.68, thông qua Chrome Web Store.
Đến ngày 25 tháng 12, đúng vào ngày Giáng sinh, những nạn nhân đầu tiên tỉnh dậy và phát hiện tiền trong ví của mình đã bị chuyển đi mà không có sự cho phép. Nhà điều tra blockchain ZachXBT nhanh chóng tiến hành điều tra và phát đi cảnh báo khẩn cấp trong các nhóm Telegram.
Khi cuộc điều tra tiếp tục, toàn bộ quy mô của sự cố dần được làm sáng tỏ: chỉ người dùng phiên bản tiện ích mở rộng trình duyệt 2.68 bị ảnh hưởng; các phiên bản di động và các nền tảng khác vẫn an toàn.
01 Tổng quan sự cố: Lỗ hổng bảo mật ngày Giáng sinh và phản ứng cộng đồng
Ngày 25 tháng 12 năm 2025—một ngày vốn dành cho lễ hội—bỗng hóa thành cơn ác mộng đối với hàng trăm người dùng Trust Wallet. Nhà phân tích on-chain ZachXBT đã phát đi cảnh báo, cho biết hàng trăm người dùng bị đánh cắp tài sản trên nền tảng Trust Wallet, với tổng thiệt hại đã lên tới ít nhất 6 triệu USD.
Trust Wallet, ví tiền mã hóa trực thuộc Binance, hiện có hàng chục triệu người dùng. Là một ví phi lưu ký hàng đầu, Trust Wallet hỗ trợ các blockchain lớn như Ethereum và Binance Smart Chain, đồng thời tích hợp chặt chẽ với nhiều nền tảng DeFi.
Sau khi sự cố xảy ra, Trust Wallet đã chính thức phát đi cảnh báo bảo mật, xác nhận tồn tại lỗ hổng trên phiên bản tiện ích mở rộng trình duyệt 2.68 và khẩn trương phát hành bản vá 2.69.
Nhà sáng lập Binance, CZ, cũng phản hồi trên mạng xã hội, cho biết tổng thiệt hại do lỗ hổng này gây ra ước tính khoảng 7 triệu USD, đồng thời cam kết nền tảng sẽ bồi thường đầy đủ cho người dùng bị ảnh hưởng, đảm bảo rằng tài sản "SAFU" (Quỹ bảo vệ tài sản người dùng).
02 Dòng thời gian tấn công: Vụ trộm Giáng sinh được lên kế hoạch kỹ lưỡng
Diễn biến của sự cố bảo mật này cho thấy kẻ tấn công đã chuẩn bị rất kỹ lưỡng. Ngày 24 tháng 12, vào đêm Giáng sinh, Trust Wallet phát hành bản cập nhật tiện ích mở rộng lên Chrome Web Store. Đa số người dùng, trong không khí lễ hội, đã cập nhật tự động hoặc thủ công.
Chỉ vài giờ sau, vào sáng ngày 25 tháng 12 (giờ miền Đông Hoa Kỳ, từ sáng sớm đến trưa), những nạn nhân đầu tiên bắt đầu phát hiện các giao dịch chuyển tiền trái phép. Sau khi nhận được nhiều báo cáo, ZachXBT đã phát đi cảnh báo công khai trên Telegram vào khoảng giữa trưa theo giờ địa phương.
Các giao dịch chuyển tiền trái phép diễn ra liên tục trong hơn 30 giờ, kéo dài đáng kể kể từ thời điểm phát hiện đầu tiên. Trong khi vụ đánh cắp vẫn đang tiếp diễn, các tài khoản chính thức của Trust Wallet vẫn đăng lời chúc mừng Giáng sinh và các chiến dịch tiếp thị, tạo nên sự đối lập rõ rệt và khiến cộng đồng bất bình.
Phải đến ngày 26 tháng 12—sau hơn 30 giờ kể từ khi sự cố bắt đầu—đại diện Trust Wallet mới công khai thừa nhận lỗ hổng trên tiện ích mở rộng trình duyệt. Phản ứng chậm trễ này đã vấp phải làn sóng chỉ trích mạnh mẽ và làm gia tăng lo ngại trong cộng đồng người dùng.
03 Phân tích kỹ thuật: Lỗ hổng chí mạng trên tiện ích mở rộng trình duyệt
Các chuyên gia bảo mật cho rằng vụ tấn công có thể được thực hiện theo hai cách: hoặc mã độc đã bị cài cắm có chủ đích trong quá trình cập nhật, hoặc một lỗ hổng dễ bị khai thác đã vô tình xuất hiện.
Quyền truy cập cấp cao của các tiện ích mở rộng Chrome khiến chúng trở thành mục tiêu hấp dẫn cho tin tặc. Các tiện ích này có thể đọc và chỉnh sửa toàn bộ nội dung web mà người dùng truy cập, chặn các yêu cầu mạng, chèn mã lệnh tùy ý và thậm chí truy cập bộ nhớ cục bộ.
Giám đốc an ninh thông tin của SlowMist còn lưu ý rằng vụ việc này có thể bắt nguồn từ việc thiết bị của nhà phát triển hoặc kho mã nguồn bị xâm nhập, và người dùng vẫn đang tiếp tục bị ảnh hưởng. Phân tích này nhấn mạnh nguy cơ của các cuộc tấn công chuỗi cung ứng—kẻ tấn công không cần phải xâm nhập trực tiếp ứng dụng ví; chỉ cần kiểm soát bất kỳ thành phần phụ thuộc nào ở thượng nguồn là đủ.
Các nghiên cứu bảo mật chỉ ra rằng ví trình duyệt đối mặt với ba rủi ro hệ thống: cập nhật tự động buộc người dùng phải chấp nhận phiên bản mới mà không thể kiểm tra mã nguồn; lạm dụng quyền hạn cho phép tiện ích hợp pháp chèn mã độc trong quá trình cập nhật; lỗ hổng chuỗi phụ thuộc khiến các ứng dụng phía dưới bị ảnh hưởng mà người dùng không hề hay biết.
04 Theo dõi dòng tiền: Lộ trình rửa tiền của hacker
Dữ liệu giám sát của PeckShield cho thấy trong vụ khai thác Trust Wallet, hacker đã đánh cắp hơn 6 triệu USD tài sản mã hóa từ các nạn nhân. Số tiền này được chuyển tự động và nhanh chóng đến một nhóm ví do kẻ tấn công kiểm soát.
Việc theo dõi dòng tiền cho thấy một quy trình rửa tiền có hệ thống:
| Trạng thái tài sản | Giá trị (ước tính USD) | Đích đến chính hoặc ghi chú |
|---|---|---|
| Vẫn nằm trong ví hacker | 2,8 triệu USD | Phân bổ trên các mạng Bitcoin, EVM và Solana |
| Đã chuyển lên sàn giao dịch tập trung | Hơn 4 triệu USD | Gửi đến ChangeNOW, FixedFloat, KuCoin và các sàn khác |
Cụ thể, khoảng 3,3 triệu USD đã được gửi đến ChangeNOW, khoảng 340.000 USD đến FixedFloat và xấp xỉ 447.000 USD đến KuCoin. Mô hình chuyển tiền nhanh, phân tán này là đặc trưng của các vụ tấn công vào tiện ích mở rộng hoặc giao diện frontend, nhằm làm phức tạp quá trình truy vết.
Các nhà phân tích on-chain phát hiện một ví EVM vừa tạo mới đã nhận các giao dịch từ vài phần ETH cho đến 7 ETH. Một địa chỉ vẫn còn giữ hơn 255 ETH, trị giá khoảng 750.000 USD.
Trên mạng Bitcoin, một địa chỉ duy nhất đã nhận hơn 12 BTC (trị giá hơn 1 triệu USD) thông qua 66 giao dịch, trong khi các ví khác nhận tổng cộng 1,5 BTC.
05 Tác động thị trường và diễn biến giá token
Sự cố Trust Wallet không chỉ gây thiệt hại trực tiếp cho nạn nhân mà còn tạo ra làn sóng chấn động trên toàn thị trường tiền mã hóa. Là token tiện ích gốc của hệ sinh thái ví, Trust Wallet Token (TWT) có thể chịu áp lực giảm giá.
Nhà sáng lập SlowMist, Yu Jin, còn chỉ ra rằng kẻ tấn công dường như rất am hiểu mã nguồn tiện ích mở rộng Trust Wallet, đã chèn PostHog JS để thu thập nhiều dữ liệu ví người dùng. Đáng báo động, phiên bản Trust Wallet đã vá lỗi vẫn chưa loại bỏ đoạn mã PostHog JS.
Trong quá khứ, các sự cố bảo mật tương tự từng khiến giá token liên quan giảm 10–20% chỉ trong 24 giờ, với khối lượng giao dịch tăng vọt do làn sóng bán tháo hoảng loạn. Sự kiện lần này cũng có thể khiến nhà đầu tư chuyển hướng sang các tài sản an toàn hơn như Bitcoin và Ethereum.
Tính đến ngày 26 tháng 12, dữ liệu trên nền tảng Gate cho thấy tâm lý thị trường thận trọng, nhà đầu tư đặc biệt quan tâm đến vấn đề bảo mật ví. Mặc dù CZ đã hứa sẽ bồi thường đầy đủ, việc khôi phục niềm tin thị trường sẽ cần thời gian.
06 Hướng dẫn ứng phó và khuyến nghị bảo mật cho người dùng
Nếu bạn là người dùng Trust Wallet có nguy cơ bị ảnh hưởng, hãy thực hiện ngay các bước sau:
Bước 1: Kiểm tra và cô lập. Xem lại lịch sử giao dịch trong 48 giờ gần nhất, chú ý đến các giao dịch chuyển token trái phép, tương tác hợp đồng hoặc các lần ký xác thực bất thường. Nếu phát hiện dấu hiệu khả nghi, ngay lập tức vô hiệu hóa tiện ích mở rộng Trust Wallet trên Chrome bằng cách truy cập chrome://extensions và xóa hoặc tắt tiện ích.
Bước 2: Khôi phục tài sản. Sử dụng Revoke.cash hoặc tính năng Token Approvals trên Etherscan để thu hồi toàn bộ quyền truy cập DeFi. Tạo một ví mới hoàn toàn với bộ seed phrase sinh mới—không khôi phục từ ví cũ. Chuyển toàn bộ tài sản còn lại sang ví mới, và tránh sử dụng các thiết bị có nguy cơ đã bị xâm nhập.
Bước 3: Báo cáo và bảo vệ. ZachXBT khuyến nghị nạn nhân chủ động liên hệ cơ quan chức năng và cung cấp bản ghi chi tiết các giao dịch. Dù các vụ trộm tiền mã hóa hiếm khi được phá án, việc lập hồ sơ chính thức là rất quan trọng cho các vụ kiện tập thể hoặc yêu cầu bảo hiểm trong tương lai.
Đối với người dùng Trust Wallet chưa bị ảnh hưởng, các biện pháp phòng ngừa gồm: ngừng sử dụng tiện ích mở rộng Chrome, chuyển sang ứng dụng di động hoặc ví phần cứng; rà soát và thu hồi các quyền truy cập hợp đồng DeFi không cần thiết; tránh ký các giao dịch hoặc phê duyệt mới cho đến khi tình hình rõ ràng; thường xuyên sao lưu seed phrase và lưu trữ ngoại tuyến; cân nhắc chuyển tài sản lớn sang ví phần cứng.
Trung tâm hỗ trợ chính thức của Trust Wallet đã công bố quy trình bồi thường, nạn nhân có thể đăng ký yêu cầu qua kênh này. ZachXBT lưu ý rằng nếu Trust Wallet bị xác định có trách nhiệm, nền tảng này có thể phải bồi thường cho người dùng bị ảnh hưởng.
Triển vọng
Với hơn 4 triệu USD tài sản bị đánh cắp đã được chuyển lên các sàn như ChangeNOW, FixedFloat và KuCoin, dư chấn từ vụ trộm Giáng sinh này vẫn tiếp tục lan rộng trong thế giới tiền mã hóa. Công ty bảo mật PeckShield cho biết khoảng 2,8 triệu USD vẫn đang nằm trong các ví do hacker kiểm soát.
Chuyên gia bảo mật Yu Jin—người phát hiện đoạn mã đáng ngờ vẫn còn trong bản vá—vẫn liên tục phát đi cảnh báo trên mạng xã hội. Trong thế giới tài sản số, bảo mật không bao giờ là sự kiện nhất thời—đó là một cuộc đua đường trường không có hồi kết.
Sự im lặng và các động thái tiếp theo của Trust Wallet sẽ định hình cách ngành công nghiệp phản ứng trước khủng hoảng bảo mật. Đối với mọi nhà đầu tư tài sản số, sự cố này là lời cảnh tỉnh rõ ràng và sâu sắc: an toàn thực sự luôn nằm trong chính tay bạn.
