Trust Wallet khởi động quy trình bồi thường, chịu trách nhiệm toàn bộ thiệt hại 7 triệu USD của người dùng trong ví của họ

Trust Wallet khởi động quy trình bồi thường cho các nạn nhân bị ảnh hưởng bởi sự cố an ninh phiên bản mở rộng Chrome v2.68, vụ tấn công hacker này đã khiến hàng trăm ví bị mất khoảng 7 triệu USD tài sản kỹ thuật số. Người sáng lập Binance CZ xác nhận rằng công ty sẽ chịu trách nhiệm toàn bộ thiệt hại của tất cả người dùng bị ảnh hưởng, nạn nhân có thể gửi yêu cầu bồi thường qua trang web chính thức.

Rò rỉ API khóa của Trust Wallet gây ra cuộc tấn công chuỗi cung ứng

CEO Trust Wallet Eowyn Chen trong cuộc điều tra sau đó đã tiết lộ phương thức tấn công cốt lõi. Hacker đã lấy được API khóa của ứng dụng Chrome Web Store của Trust Wallet, chứng chỉ quan trọng này vốn chỉ dành cho nhóm nội bộ phát hành cập nhật. Kẻ tấn công sử dụng “chìa khóa vạn năng” này, vào lúc 12:32 chiều UTC ngày 24 tháng 12, đã vượt qua quy trình phát hành nội bộ tiêu chuẩn của Trust Wallet, trực tiếp đẩy phiên bản chỉnh sửa v2.68 lên Chrome Store.

Phương thức tấn công này trong lĩnh vực an ninh mạng được gọi là “tấn công chuỗi cung ứng”, kẻ tấn công không tấn công trực tiếp người dùng mà xâm nhập vào kênh phát hành của nhà cung cấp phần mềm, đóng gói mã độc thành cập nhật chính thức để gửi đến tất cả người dùng. Vì cập nhật đến từ cửa hàng chính thức và chứng chỉ ký hợp lệ, người dùng và trình duyệt không thể nhận biết được tính độc hại của nó. Trust Wallet có khoảng một triệu người dùng mở rộng Chrome, phương thức tấn công này có phạm vi ảnh hưởng rất lớn.

Công ty an ninh chuỗi khối SlowMist trong phân tích kỹ thuật đã chỉ ra rằng mã độc đã lợi dụng thư viện phân tích mã nguồn mở đã chỉnh sửa. Mã do kẻ tấn công thiết kế cẩn thận sẽ âm thầm lấy trộm mnemonic của ví khi người dùng đăng nhập vào phần mở rộng, gửi về máy chủ điều khiển của hacker. Mnemonic là chứng chỉ quyền cao nhất để kiểm soát ví tiền mã hóa, nếu bị rò rỉ, kẻ tấn công có thể kiểm soát hoàn toàn tất cả tài sản của nạn nhân. Chen cho biết, những người đăng nhập vào phần mở rộng trước 11 giờ sáng ngày 26 tháng 12 (UTC) có thể đã bị ảnh hưởng.

Trust Wallet sau ngày Giáng sinh đã nhận được cảnh báo từ điều tra viên chuỗi ZachXBT đăng trên Telegram, ngay lập tức kích hoạt quy trình ứng phó khẩn cấp. Nhóm đã phát hành phiên bản v2.69 vào ngày 25 tháng 12 để sửa lỗi, và đã loại bỏ phiên bản độc hại khỏi Chrome Store. Tuy nhiên, những người đăng nhập trong thời gian phiên bản độc hại còn hoạt động có thể đã bị lộ mnemonic, và ngay cả sau khi cập nhật, thiệt hại vẫn không thể khắc phục.

Theo dõi dòng chảy của 7 triệu USD bị đánh cắp

Công ty an ninh chuỗi khối PeckShield qua phân tích chuỗi đã theo dõi dòng chảy của số tiền bị đánh cắp. Khoảng 7 triệu USD tài sản kỹ thuật số đã bị đánh cắp trên nhiều chuỗi chính, bao gồm Bitcoin, Ethereum và Solana. Kẻ tấn công đã thực hiện chiến lược chuyển đổi nhanh, hơn 4 triệu USD trong số đó đã được chuyển qua các sàn tập trung như ChangeNOW, FixedFloat và KuCoin. Tính đến thứ Năm, còn khoảng 2,8 triệu USD vẫn còn trong ví của kẻ tấn công.

Mô hình dòng chảy này cho thấy kẻ tấn công có khả năng rửa tiền chuyên nghiệp. ChangeNOW và FixedFloat là các sàn giao dịch tức thì không yêu cầu KYC, thường được dùng để làm mờ nguồn gốc tiền. Một phần số tiền chuyển vào các sàn lớn như KuCoin có thể nhằm phân tán hoặc rút tiền ra. Theo dõi chuỗi rõ ràng, nhưng khi số tiền vào sàn tập trung hoặc các công cụ trộn tiền, khả năng truy đuổi sẽ trở nên khó khăn hơn nhiều.

Điều đáng chú ý là vụ tấn công xảy ra vào dịp trước Giáng sinh, đây là chiến lược điển hình của hacker. Trong kỳ nghỉ lễ, đội ngũ an ninh doanh nghiệp giảm nhân lực, phản ứng chậm hơn, tạo điều kiện cho kẻ tấn công chuyển đổi tài sản nhiều hơn. Trust Wallet chỉ mất khoảng 24 giờ để phát hành bản sửa, nhưng kẻ tấn công đã có đủ thời gian để thực hiện đợt chuyển tiền đầu tiên.

Hiện tại, chỉ có phần mở rộng Chrome của Trust Wallet bị ảnh hưởng, các ứng dụng di động (iOS và Android) cùng các trình duyệt khác như Firefox, Edge chưa bị ảnh hưởng trong sự kiện này. Điều này do các nền tảng khác nhau sử dụng kênh phát hành và API khóa riêng biệt, kẻ tấn công chỉ lấy được quyền phát hành trên Chrome Store.

Quy trình bồi thường chính thức và cảnh báo lừa đảo

Trust Wallet đã ra mẫu đơn yêu cầu bồi thường chính thức trên trang web chính thức, người dùng bị ảnh hưởng cần cung cấp các thông tin sau để hoàn tất yêu cầu:

Thông tin cần thiết để yêu cầu bồi thường

· Thông tin cá nhân cơ bản: Địa chỉ email và quốc gia/khu vực cư trú, dùng để xác thực danh tính và liên hệ sau này

· Chứng minh ví bị ảnh hưởng: Địa chỉ ví bị đánh cắp và địa chỉ nhận của kẻ tấn công, cần cung cấp đúng định dạng địa chỉ chuỗi

· Bằng chứng giao dịch: Mã băm giao dịch liên quan (Transaction Hash), làm bằng chứng trên chuỗi về việc bị đánh cắp tiền

Đội ngũ Trust Wallet cho biết: “Chúng tôi đang làm việc ngày đêm để xác định chi tiết quy trình bồi thường, mỗi trường hợp đều cần xác minh cẩn thận để đảm bảo chính xác và an toàn.” Cơ chế xác minh này nhằm ngăn chặn các yêu cầu giả mạo, nhưng cũng đồng nghĩa với việc việc phát tiền bồi thường sẽ mất thời gian. Người sáng lập Binance CZ trên X đã cam kết rõ ràng: “Trust Wallet sẽ chịu toàn bộ thiệt hại”, đồng thời nhấn mạnh rằng quỹ của người dùng “hoàn toàn an toàn”. Binance đã mua lại Trust Wallet từ năm 2018, cam kết này thể hiện quyết tâm của công ty mẹ trong việc bảo vệ uy tín thương hiệu.

Trust Wallet đặc biệt cảnh báo người dùng về các mẫu đơn bồi thường giả mạo và các chiêu trò lừa đảo dựa trên danh tính sau sự kiện. Hacker và các kẻ lừa đảo thường lợi dụng sự cố an ninh để gây thiệt hại thứ cấp, bằng cách giả mạo các mẫu đơn chính thức để lấy cắp thêm thông tin cá nhân hoặc mnemonic. Người dùng chỉ nên gửi yêu cầu bồi thường qua trang web chính thức của Trust Wallet hoặc các kênh cộng đồng chính thức đã xác thực, tuyệt đối không nhấp vào các liên kết không rõ nguồn gốc hoặc tiết lộ mnemonic cho bất kỳ ai.

Sự kiện này làm nổi bật rủi ro hệ thống của kênh phát hành tập trung. Ngay cả ví phi tập trung, cơ chế cập nhật phần mềm vẫn phụ thuộc vào các nền tảng trung tâm như Google, Apple. Quản lý API khóa kém có thể khiến toàn bộ nhóm người dùng gặp rủi ro. Trust Wallet cần xem xét lại toàn diện cơ chế lưu trữ khóa, áp dụng các biện pháp bảo vệ cao hơn như mô-đun an toàn phần cứng (HSM) hoặc đa chữ ký. Đối với người dùng, sao lưu mnemonic định kỳ, sử dụng ví phần cứng để lưu trữ tài sản lớn, theo dõi các thông báo an ninh chính thức là các biện pháp giảm thiểu rủi ro tương tự.