Hơn 6 triệu USD “bốc hơi” khỏi ví Trust Wallet
Tài sản “bốc hơi” trong vài phút, ảnh hưởng lan rộng nhiều blockchain
Hàng trăm người dùng Trust Wallet đã thiệt hại ít nhất 6 triệu USD trong một sự cố bảo mật nghiêm trọng liên quan đến tiện ích mở rộng trình duyệt, theo phân tích của thám tử on-chain ZachXBT.
Sự cố được phơi bày sau khi ZachXBT phát đi cảnh báo khẩn trên Telegram hồi sáng nay 26/12, cho biết nhiều người dùng Trust Wallet đã bị rút sạch tài sản chỉ trong thời gian cực ngắn, mà không hề ghi nhận bất kỳ thao tác tương tác bất thường nào trước đó.
Các báo cáo này trùng khớp với thời điểm Trust Wallet vừa tung ra bản cập nhật mới cho tiện ích mở rộng Chrome, nhanh chóng đẩy quy trình phát hành phần mềm của ví này vào tâm điểm nghi vấn.
Dữ liệu on-chain ban đầu cho thấy kẻ tấn công đã chiếm đoạt hơn 6 triệu USD từ hàng trăm địa chỉ ví. Phạm vi ảnh hưởng không bó hẹp trong một hệ sinh thái, mà trải rộng trên nhiều blockchain lớn như Bitcoin, các mạng tương thích EVM và Solana.
Trong nhiều trường hợp, toàn bộ số dư bị chuyển đi chỉ trong vài giây đến vài phút. Đây là dấu hiệu thường chỉ xuất hiện khi private key hoặc seed phrase đã bị lộ, khác hẳn với các chiêu lừa đảo quen thuộc như dụ ký giao dịch hay gửi link giả mạo.
Việc tài sản bị rút đồng loạt, tốc độ cao và có tổ chức cho thấy đây không phải là hành vi ngẫu nhiên, mà mang dáng dấp của một chiến dịch tấn công được chuẩn bị từ trước, nhắm thẳng vào quyền kiểm soát ví của người dùng.
Trong thông báo đăng trên mạng xã hội X, Trust Wallet xác nhận sự cố ảnh hưởng đến Trust Wallet Browser Extension phiên bản 2.68, đồng thời kêu gọi người dùng ngay lập tức tắt tiện ích và nâng cấp lên phiên bản 2.69. Công ty cho biết lỗ hổng hiện giới hạn đến tiện ích mở rộng trên trình duyệt, còn người dùng chỉ sử dụng ứng dụng di động và các phiên bản tiện ích khác không bị ảnh hưởng.
For users who haven't already updated to Extension version 2.69, please do not open the Browser Extension until you have updated. This may help to ensure the security of your wallet and prevent further issues.
— Trust Wallet (@TrustWallet) December 26, 2025
Song, ngoài khuyến cáo cập nhật, Trust Wallet vẫn chưa công bố phân tích kỹ thuật cụ thể về cách thức tấn công, cũng như chưa làm rõ liệu rủi ro đã được xử lý triệt để hay chưa.
Theo PeckShield, hacker đã nhanh chóng tẩu tán tiền sang nhiều nơi khác nhau, trong đó có các sàn giao dịch tập trung, nhưng khả năng cao sử dụng thông tin đăng ký giả mạo.
#PeckShieldAlert The @TrustWallet exploit has drained >$6M worth of cryptos from victims.
— PeckShieldAlert (@PeckShieldAlert) December 26, 2025
While ~$2.8M of the stolen funds remain in the hacker's wallets (#Bitcoin/#EVM/#Solana), the bulk - >$4M in cryptos - has been sent to #CEXs: ~$3.3M to @ChangeNOW_io, ~$340K to… https://t.co/qMQY5Namgc pic.twitter.com/uHHaqVpNic
Nhà sáng lập Binance Changpeng Zhao cũng lên tiếng về vụ việc, xác nhận số tiền thiệt hại là hơn 7 triệu USD và sẽ được Trust Wallet chi trả toàn bộ. Ông tiết lộ thêm hiện vẫn chưa rõ cách thức hacker xâm nhập vào bản cập nhật mới trên trình duyệt.
So far, $7m affected by this hack. @TrustWallet will cover. User funds are SAFU. Appreciate your understanding for any inconveniences caused. 🙏
— CZ 🔶 BNB (@cz_binance) December 26, 2025
The team is still investigating how hackers were able to submit a new version. https://t.co/xdPGwwDU8b
Binance đã mua lại Trust Wallet vào năm 2018, đánh dấu thương vụ mua bán sáp nhập đầu tiên trong lịch sử của sàn giao dịch này.
Nguy cơ tấn công chuỗi cung ứng phần mềm
Các chuyên gia bảo mật và nhà nghiên cứu on-chain nhận định những dấu hiệu hiện tại phù hợp với tấn công chuỗi cung ứng phần mềm - kịch bản trong đó mã độc được phát tán thông qua chính bản cập nhật chính thức, thay vì khai thác lỗ hổng blockchain hay lừa người dùng thao tác sai.
Nếu giả thuyết này được xác thực, mức độ nghiêm trọng của sự cố sẽ vượt xa một lỗi kỹ thuật thông thường. Nó đặt dấu hỏi lớn về quy trình kiểm soát mã nguồn, kiểm toán bảo mật và phát hành cập nhật của các ví phi lưu ký đang quản lý khối tài sản trị giá hàng tỷ USD. Trong kịch bản xấu nhất, chính kênh phân phối phần mềm - nơi người dùng đặt niềm tin tuyệt đối - lại trở thành công cụ phát tán rủi ro.
Sự cố Trust Wallet tiếp tục phơi bày rủi ro mang tính cấu trúc của các ví hoạt động dưới dạng tiện ích trình duyệt. Các extension vận hành trong môi trường JavaScript, được cấp quyền truy cập sâu vào trình duyệt và trở nên đặc biệt mong manh nếu chuỗi phát hành phần mềm bị xâm nhập.
Với các ví phi lưu ký - nơi người dùng tự chịu trách nhiệm hoàn toàn với tài sản của mình - bất kỳ sai sót nào trong bảo mật phần mềm đều có thể dẫn đến mất mát không thể thu hồi, đúng với bản chất “không có đường lui” của blockchain.
Giá TWT, token của ví Trust, giảm gần 4% trong 24h qua và đang giao dịch quanh ngưỡng 0,8 USD, tương ứng với mức vốn hoá 333 triệu USD.
Biến động giá TWT trong 24 giờ qua, ảnh chụp màn hình trên Coingecko vào lúc 10:00 AM ngày 26/12/2025
Sự cố hôm nay xảy ra trong bối cảnh tội phạm tiền mã hóa tiếp tục leo thang. Theo Chainalysis, tổng giá trị tài sản số bị đánh cắp từ đầu năm đến đầu tháng 12 đã vượt 3,41 tỷ USD, cao hơn cả con số của năm trước.
Riêng trong năm 2025, các nhóm hacker thân tín với Triều Tiên đã đánh cắp khoảng 2 tỷ USD tiền mã hóa. Gần đây, giao thức tạo lập thị trường tự động Balancer cũng bị tấn công, với thiệt hại ước tính lên đến 116 triệu USD.
Coin68 tổng hợp
