CZ：Trust Wallet sẽ bồi thường thiệt hại 7 triệu USD do bị hack trong dịp Giáng sinh

Ví Wallet tiền điện tử Trust Wallet của trình duyệt mở rộng v2.68 bất ngờ gặp lỗ hổng bảo mật, dẫn đến khoảng 700 triệu USD người dùng bị mất. Người sáng lập Binance CZ cho biết, Trust Wallet sẽ đền bù toàn bộ thiệt hại cho người dùng bị ảnh hưởng, và kêu gọi người dùng phiên bản này ngay lập tức thực hiện các biện pháp đảm bảo an toàn ví. Người dùng Trust Wallet đã gặp phải cuộc tấn công lỗ hổng được lên kế hoạch kỹ lưỡng vào ngày Giáng sinh, cuối cùng thiệt hại khoảng 700 triệu USD, theo tin tức, cuộc tấn công này đã bắt đầu được lên kế hoạch từ đầu tháng 12. Công ty an ninh mạng SlowMist còn cho biết, các tiện ích mở rộng độc hại này cũng liên tục xuất ra thông tin cá nhân của người dùng. Trust Wallet trước đó đã đăng bài trên X cho biết, phiên bản 2.68 của tiện ích mở rộng trình duyệt Trust Wallet bị ảnh hưởng bởi sự cố bảo mật, ảnh hưởng đến người dùng trên máy tính để bàn, chính thức khuyên người dùng nâng cấp lên phiên bản 2.69. Tin liên quan: Trust Wallet mở rộng trình duyệt bất ngờ gặp lỗ hổng, người dùng bị trộm hơn 600 triệu USD Người sáng lập đồng sáng lập Binance Zhao Changpeng (CZ) trong bài đăng trên X vào thứ Sáu cho biết, số tiền bị mất sẽ được đền bù, “Hiện tại cuộc tấn công đã gây thiệt hại 700 triệu USD. Sẽ được đền bù. An toàn quỹ người dùng không có gì lo lắng.” Ngoài ra, ông còn đề cập rằng nhóm Trust Wallet vẫn đang điều tra cách hacker có thể gửi phiên bản mới. Cho đến nay, $7m bị ảnh hưởng bởi vụ hack này. @TrustWallet sẽ đền bù. Quỹ người dùng an toàn. Cảm ơn sự thông cảm của bạn về mọi bất tiện gây ra. 🙏 Nhóm vẫn đang điều tra cách hacker có thể gửi phiên bản mới. — CZ 🔶 BNB (@cz_binance) ngày 26 tháng 12 năm 2025

Lỗ hổng ví tiền điện tử đang ngày càng đe dọa nghiêm trọng đến các nhà đầu tư tài sản số. Theo dữ liệu của Chainalysis, số tiền bị đánh cắp trong năm 2025 đã vượt quá 3.4 tỷ USD, trong đó riêng vụ bị đánh cắp của Bybit vào tháng 2 đã gây thiệt hại cuối cùng khoảng 1.5 tỷ USD. Trong năm 2025, số vụ bị trộm ví cá nhân tăng vọt lên 158,000, ảnh hưởng đến 80,000 nạn nhân khác nhau, nhưng tổng số tiền bị trộm (713 triệu USD) đã giảm so với năm 2024. Tin liên quan: Tiến trình truy vết vụ trộm 14 tỷ USD của Bybit: Gần 28% dòng tiền “bị cắt đứt”, thành công phong tỏa 3.84% tài sản Lỗ hổng Trust Wallet gây lo ngại trong ngành công nghiệp tiền điện tử Người sáng lập công ty an ninh chuỗi khối SlowMist, Yu Xian, đăng bài cho biết, ông đã quan sát thấy các kế hoạch tấn công Trust Wallet bắt đầu chuẩn bị từ ngày 8 tháng 12.

Phiên bản mở rộng trình duyệt Trust Wallet mang hậu cửa là 2.68.0, sau khi sửa là 2.69.0, so sánh mã nguồn bình thường và mã nguồn có hậu cửa, như hình.

Mã hậu cửa đã thêm một PostHog để thu thập các thông tin riêng tư của người dùng ví (bao gồm cả mnemonic), và gửi về máy chủ của kẻ tấn công api.metrics-trustwallet[.]com.

Dự đoán thời gian: hacker ít nhất bắt đầu chuẩn bị từ 12.8… pic.twitter.com/FOLjD6aPar

— Cos(余弦)😶‍🌫️ (@evilcos) ngày 26 tháng 12 năm 2025

Yu Xian chỉ ra rằng, phiên bản mở rộng trình duyệt Trust Wallet mang hậu cửa là 2.68.0, sau khi sửa là 2.69.0, ông đã so sánh sự khác biệt giữa mã nguồn bình thường và mã nguồn có hậu cửa, “Mã hậu cửa đã thêm một PostHog để thu thập các thông tin cá nhân của người dùng ví (bao gồm mnemonic), và gửi về máy chủ của kẻ tấn công api.metrics-trustwallet[.]com. Dự đoán thời gian: hacker ít nhất bắt đầu chuẩn bị từ 12.8 (tức ngày 8 tháng 12), thành công cấy hậu cửa vào ngày 12.22, bắt đầu chuyển tiền vào ngày 12.25 trong dịp Giáng sinh, rồi bị phát hiện.” Một số người trong ngành cho rằng, lỗ hổng này có thể liên quan đến hoạt động nội bộ, vì hacker có thể đã gửi phiên bản mới của Trust Wallet mở rộng trên website, “Loại tấn công này không tự nhiên. Rất có khả năng là do nội bộ thực hiện.”

Về ý kiến của cộng đồng: “Chắc chắn là nội bộ nhóm (thủ phạm).” CZ cũng thừa nhận khả năng này. SlowMist còn chỉ ra rằng, “kẻ tấn công rất quen thuộc với mã nguồn của Trust Wallet mở rộng,” điều này giúp hacker thực hiện các mã hậu cửa cần thiết để thu thập thông tin nhạy cảm của người dùng.