Tiện ích mở rộng Trust Wallet đã quay lại Chrome Web Store sau khi bị gỡ tạm thời, trong bối cảnh một vụ tấn công tinh vi vào tháng 12 khiến khoảng 8,5 triệu USD tài sản số bị xâm phạm.
Lần trở lại này đi kèm bản cập nhật bổ sung tính năng mã xác minh để hỗ trợ quy trình bồi hoàn, đồng thời Trust Wallet cảnh báo người dùng cảnh giác với các bản tiện ích giả mạo đang lợi dụng sự cố.
- Trust Wallet đưa tiện ích mở rộng trở lại Chrome Web Store và phát hành bản 2.71.0 để hỗ trợ xác minh khi khiếu nại bồi hoàn.
- Vụ hack tháng 12 liên quan tiện ích phiên bản độc hại 2.68, gây ảnh hưởng 2.520 địa chỉ ví trong giai đoạn 25–26/12.
- Quy trình bồi hoàn phải siết chặt vì số lượng yêu cầu vượt xa số ví bị xác định, nhằm lọc gian lận và trùng lặp.
Tiện ích Trust Wallet đã trở lại Chrome Web Store với bản 2.71.0
Trust Wallet cho biết tiện ích mở rộng đã xuất hiện trở lại trên Chrome Web Store, kèm phiên bản 2.71.0 bổ sung hỗ trợ mã xác minh dịch vụ khách hàng để phục vụ quy trình xử lý yêu cầu bồi hoàn.
Trong thông báo trên X, Trust Wallet xác nhận “Version 2.71.0 is now available & includes customer service verification code support to help with the claims process.” Người dùng có thể theo dõi cập nhật tại bài đăng: thông báo trên X của Trust Wallet.
CEO Eowyn Chen cho biết việc tiện ích tạm thời không khả dụng xuất phát từ lỗi của Chrome Web Store trong lúc phát hành phiên bản mới, thay vì do một đợt tấn công mới. Theo bà, phiên bản mới được thiết kế để người bị ảnh hưởng có thể gửi mã xác minh ngay từ tiện ích, giúp xác thực quyền sở hữu ví tốt hơn.
Bà cũng nêu rằng Google đã ghi nhận vấn đề và đang xử lý theo kênh nội bộ để sớm khôi phục trạng thái bình thường. Bài đăng liên quan của CEO: chia sẻ của Eowyn Chen trên X.
Trust Wallet đồng thời cảnh báo người dùng phải cảnh giác với các phiên bản tiện ích giả mạo lợi dụng thời điểm tiện ích bị gỡ tạm thời, vì rủi ro bị đánh cắp khóa/phiên đăng nhập có thể tăng mạnh khi người dùng tìm và cài từ nguồn không chính thống.
“Some may have noticed that the @trustwallet Browser Extension is temporarily unavailable on the Chrome Web Store. We hit a Chrome Web Store bug while releasing a new version that includes a feature to help reimbursement claimants submit verification codes from their extension — this helps us better verify wallet ownership for affected users, separate from the hacker/scammer. Google has acknowledged the issue and is escalating it internally. We hope to have it resolved soon.”
– Eowyn Chen, CEO Trust Wallet, X (31/12)
Vụ tấn công dịp lễ đã rút tiền của người dùng Trust Wallet trong 2 ngày
Cuộc tấn công tháng 12 bắt nguồn từ việc kẻ xấu phát tán phiên bản độc hại 2.68 của tiện ích Trust Wallet vào đêm Giáng sinh, khiến nhiều người dùng bị rút sạch tiền trong khoảng 25–26/12.
Theo mô tả sự cố, kẻ tấn công phát hành bản 2.68 bị cấy mã độc, và nạn nhân không nghi ngờ đã cài đặt, dẫn tới việc tài sản bị chuyển đi trong khoảng thời gian xấp xỉ 2 ngày. Đây là kiểu rủi ro điển hình với tiện ích trình duyệt khi chuỗi phát hành/cập nhật bị can thiệp.
Trust Wallet cho biết có 2.520 địa chỉ ví bị ảnh hưởng trên nhiều mạng blockchain. Con số này phản ánh phạm vi “địa chỉ bị ảnh hưởng” được nhận diện, không phải tổng số yêu cầu bồi hoàn gửi về sau đó.
Đội ngũ cũng nói họ “rất tự tin” lỗ hổng liên quan đến vụ tấn công chuỗi cung ứng Shai-Hulud vào tháng 11, nhắm vào kho đăng ký phần mềm npm và ảnh hưởng diện rộng tới nhiều repository trong ngành. Điều này củng cố giả thuyết rủi ro đến từ chuỗi cung ứng thay vì chỉ từ người dùng cuối.
Các nhà nghiên cứu bảo mật ghi nhận kẻ tấn công có sự chuẩn bị, khi hạ tầng đã được dựng từ 8/12, hơn hai tuần trước khi triển khai tiện ích bị xâm phạm. Sau khi sự cố bị phát hiện, một số nhóm mũ trắng đã cố gắng giảm thiệt hại bằng cách tấn công DDoS vào hạ tầng của kẻ tấn công để hạn chế nạn nhân mới.
Trust Wallet sau đó phát hành bản 2.69 để thay thế 2.68 và khuyến nghị người dùng tải về, nhưng quá trình phát hành gặp lỗi trên Chrome Web Store như CEO đã đề cập, dẫn tới việc tiện ích bị gián đoạn tạm thời.
Kế hoạch bồi hoàn bị phức tạp bởi yêu cầu gian lận và trùng lặp
Trust Wallet xác nhận chỉ tiện ích mở rộng trình duyệt bị ảnh hưởng, còn các phiên bản ứng dụng di động không bị tác động trong suốt sự cố.
Trust Wallet thuộc sở hữu Binance nhưng vận hành như một thực thể riêng. Nhà sáng lập Binance, Changpeng Zhao, đã xác nhận kế hoạch bồi hoàn toàn bộ cho các nạn nhân được xác minh: bài đăng của Changpeng Zhao trên X.
Tuy vậy, CEO Eowyn Chen cho biết quy trình yêu cầu bồi hoàn buộc phải siết chặt sau khi Trust Wallet nhận hơn 5.000 yêu cầu, trong khi họ chỉ xác định 2.596 địa chỉ ví bị ảnh hưởng. Chênh lệch này làm tăng nguy cơ xuất hiện yêu cầu giả mạo, trùng lặp hoặc do tác nhân xấu gửi vào để trục lợi.
Trong một bài đăng ngày 28/12, bà nêu đội ngũ đang kết hợp nhiều điểm dữ liệu để phân loại nạn nhân hợp lệ và đối tượng độc hại. Tham chiếu: chia sẻ của Eowyn Chen về quy trình xác minh.
Tính năng mã xác minh trong phiên bản vừa khôi phục được mô tả là công cụ giúp gắn quy trình khiếu nại với bằng chứng sở hữu ví từ chính tiện ích, qua đó giảm rủi ro xử lý nhầm hồ sơ và hỗ trợ loại bỏ các yêu cầu gian lận hoặc gửi nhiều lần.
Những câu hỏi thường gặp
Tiện ích Trust Wallet quay lại Chrome Web Store với thay đổi quan trọng nào?
Trust Wallet cho biết bản 2.71.0 bổ sung hỗ trợ mã xác minh dịch vụ khách hàng nhằm giúp quy trình xử lý yêu cầu bồi hoàn và xác thực người dùng bị ảnh hưởng.
Vụ hack tháng 12 ảnh hưởng đến bao nhiêu địa chỉ ví?
Theo Trust Wallet, có 2.520 địa chỉ ví bị ảnh hưởng trên nhiều mạng blockchain, trong giai đoạn khoảng 25–26/12.
Ứng dụng Trust Wallet trên di động có bị ảnh hưởng không?
Trust Wallet khẳng định chỉ tiện ích mở rộng trình duyệt bị ảnh hưởng và các phiên bản ứng dụng di động không bị tác động trong suốt sự cố.
Tại sao Trust Wallet phải siết quy trình bồi hoàn?
CEO Eowyn Chen cho biết số yêu cầu bồi hoàn vượt xa số địa chỉ ví bị xác định (hơn 5.000 yêu cầu so với 2.596 địa chỉ), nên cần tăng tiêu chí xác minh để lọc gian lận và trùng lặp.