.png){kind=logo}
Bối cảnh vụ việc
Ngày 24/12, Trust Wallet phát hành bản cập nhật mới cho browser extension (Chrome, Brave, Edge…). Chỉ vài giờ sau, một số người dùng phản ánh ví bị “drain” ngay lập tức sau khi họ import seed phrase vào extension. Các địa chỉ nghi của hacker nhanh chóng được cộng đồng truy vết với số dư lên tới hơn 2 triệu USD tài sản crypto.
Phát hiện đoạn mã khả nghi
Nhà nghiên cứu bảo mật 0xAkinator và một số dev review mã nguồn bản build extension, phát hiện trong file 4482.js có đoạn code “ẩn” được gắn mác analytics. Đoạn mã này khởi tạo một SDK và gửi dữ liệu tới endpoint https://api.metrics-trustwallet.com, sử dụng localStorage để lưu trạng thái và được kích hoạt khi người dùng thao tác với ví, trong đó có hành vi import seed phrase. Domain này được đăng ký chỉ vài ngày trước rồi nhanh chóng bị gỡ, càng làm tăng nghi ngờ đây là hạ tầng của kẻ tấn công được chèn vào chuỗi build.
Dấu hiệu của supply‑chain attack
Thay vì lừa người dùng cài extension giả, vụ việc lần này có dấu hiệu là supply‑chain attack: bản cài đặt extension “chính chủ” trên store bị nhúng thêm code độc hại hoặc bị thay thế bằng bản đã bị chỉnh sửa. Người dùng vẫn tải từ link/nhà phát hành hợp lệ nên rất khó nghi ngờ. Cơ chế gửi dữ liệu ví đi ngầm dưới danh nghĩa analytics khiến nhiều người không nhận ra cho tới khi tài sản bị rút sạch.
Thiệt hại và địa chỉ hacker
Các ví được cộng đồng gắn nhãn “TrustWallet Hacker” đang nắm giữ nhiều tài sản như BTC, ETH, BNB, USDT, USDC… với tổng giá trị ước tính hơn 2,3 triệu USD. Dòng tiền cho thấy pattern quen thuộc: gom tài sản về một số ví tập trung, sau đó swap qua các DEX và chuyển tiếp sang nhiều chain để xóa dấu vết. On‑chain sleuths đang tiếp tục theo dõi luồng tiền từ các ví này để tìm thêm nạn nhân và bằng chứng.
Phản ứng từ Trust Wallet
Tại thời điểm thông tin lan rộng, phía Trust Wallet chưa đưa ra báo cáo kỹ thuật chi tiết về đoạn mã metrics-trustwallet.com cũng như chưa xác nhận hay phủ nhận kịch bản supply‑chain attack. Một số kênh chỉ khuyến cáo người dùng update lên bản mới nhất hoặc tạm thời ngừng sử dụng extension trong khi đội ngũ tiến hành điều tra nội bộ. Sự thiếu minh bạch ban đầu khiến niềm tin của cộng đồng tiếp tục suy giảm, đặc biệt sau hàng loạt vụ tấn công vào ví browser trong năm qua.
We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.
Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb
Please note: Mobile-only users…
— Trust Wallet (@TrustWallet) December 25, 2025
Khuyến nghị cho người dùng
Các chuyên gia bảo mật khuyến cáo người dùng đã từng import seed phrase vào extension Trust Wallet sau ngày 24/12 nên lập tức tạo ví mới trên thiết bị sạch, chuyển toàn bộ tài sản sang seed mới và gỡ extension khỏi trình duyệt. Trong thời gian chờ kết quả điều tra chính thức, nên hạn chế tối đa việc nhập seed vào bất kỳ extension nào, ưu tiên dùng ví lạnh hoặc ví mobile với seed lưu ngoại tuyến, chỉ giữ số vốn nhỏ trong ví browser để giao dịch ngắn hạn.
Tác động tới hệ sinh thái ví non‑custodial
Vụ việc Trust Wallet thêm một lần nhấn mạnh điểm yếu của mô hình ví non‑custodial trên trình duyệt: chỉ cần một lỗ hổng trong chuỗi build hoặc hạ tầng phân phối là seed phrase của hàng triệu người dùng có nguy cơ bị lộ. Sau hàng loạt cú sốc với LastPass, Ledger Connect và các extension ví khác, cộng đồng đang đòi hỏi tiêu chuẩn cao hơn về open‑source, reproducible build và audit độc lập cho mọi bản cập nhật ví.
Tổng hợp bởi Vn Rebates