Trust Wallet “biến mất” trên Chrome, nạn nhân vụ hack gần 7 triệu USD tiếp tục chờ công cụ bồi thường

Vụ tấn công vào tiện ích mở rộng Chrome của Trust Wallet đang khiến người dùng rơi vào tình trạng chờ đợi kéo dài, khi một lỗi từ Chrome Web Store buộc tiện ích này phải tạm thời gỡ bỏ, đồng thời làm chậm tiến độ ra mắt công cụ xác minh yêu cầu bồi thường mà Trust Wallet đã cam kết.

Những người dùng Trust Wallet bị ảnh hưởng bởi vụ hack gần đây đang đối mặt với trở ngại mới, sau khi nhà cung cấp ví xác nhận tiện ích Chrome của họ đã bị gỡ tạm thời khỏi Chrome Web Store. Sự cố này khiến việc triển khai công cụ xác minh yêu cầu bồi thường, vốn gắn liền với vụ tấn công, bị đình trệ.

CEO Trust Wallet, Eowyn Chen, cho biết tiện ích trở nên không khả dụng do công ty gặp lỗi kỹ thuật từ Chrome Web Store trong quá trình phát hành phiên bản mới. Bản cập nhật bị trì hoãn này dự kiến sẽ bổ sung tính năng xác minh, giúp các nạn nhân của vụ hack diễn ra vào ngày Giáng sinh xác nhận quyền sở hữu ví và gửi yêu cầu bồi thường một cách an toàn.

Theo Chen, Google đã ghi nhận sự cố và đang xử lý nội bộ, đồng thời Trust Wallet cảnh báo người dùng cần cảnh giác trước các phiên bản giả mạo hoặc mạo danh tiện ích đang xuất hiện tràn lan trên mạng.

Kẻ tấn công lợi dụng bản cập nhật giả để đánh cắp tài sản

Sự cố gián đoạn này xảy ra trong bối cảnh Trust Wallet vẫn đang xử lý hậu quả từ lỗ hổng bảo mật xuất hiện vào cuối tháng 12.

Ngày 25/12, Trust Wallet xác nhận một phiên bản độc hại của tiện ích Chrome, phiên bản 2.68, đã bị phát tán thông qua Chrome Web Store, nằm ngoài quy trình phát hành chính thức của công ty.

Phiên bản bị cài mã độc cho phép kẻ tấn công truy cập dữ liệu ví nhạy cảm và thực hiện các giao dịch trái phép, gây thiệt hại lên tới hàng triệu USD.

Kết quả điều tra nội bộ cho thấy chỉ những người dùng cài đặt phiên bản 2.68 và đăng nhập ví trong khoảng từ ngày 24 đến 26/12 mới bị ảnh hưởng. Người dùng ứng dụng di động, các phiên bản tiện ích khác, hoặc những ai cài đặt hay đăng nhập sau ngày 26/12 đều không chịu tác động.

Trust Wallet cho biết họ đã xác định 2.520 địa chỉ ví bị rút sạch tài sản trong sự cố này, với tổng giá trị khoảng 8,5 triệu USD, liên quan tới 17 ví do kẻ tấn công kiểm soát. Tuy nhiên, công ty cũng lưu ý rằng một số địa chỉ của kẻ tấn công còn nhắm tới các ví không liên quan đến Trust Wallet.

Các nhà nghiên cứu bảo mật sau đó xác nhận rằng bản tiện ích độc hại trông hoàn toàn hợp pháp và đã vượt qua quy trình kiểm duyệt của Chrome, nhưng chứa mã ẩn có khả năng đánh cắp cụm từ khôi phục (seed phrase).

Một số người dùng cho biết chỉ cần nhập seed phrase vào tiện ích là tiền bị rút ngay lập tức trên nhiều blockchain khác nhau.

Trust Wallet khắc phục sự cố, cảnh báo làn sóng lừa đảo bồi thường giả

Trust Wallet truy vết nguyên nhân vụ việc về một cuộc tấn công chuỗi cung ứng quy mô lớn, có tên Sha1-Hulud, được phát hiện từ tháng 11 và đã ảnh hưởng đến nhiều công ty thông qua việc xâm nhập các công cụ phát triển phần mềm.

Theo công ty, việc lộ thông tin GitHub và rò rỉ khóa API của Chrome Web Store đã tạo điều kiện để kẻ tấn công tải trực tiếp phiên bản tiện ích độc hại lên cửa hàng, vượt qua các bước phê duyệt nội bộ.

Để khắc phục, Trust Wallet đã quay lại phiên bản an toàn, phát hành bản 2.69, vô hiệu hóa toàn bộ thông tin xuất bản bị xâm phạm và công bố chương trình bồi thường tự nguyện cho các nạn nhân đủ điều kiện.

Ngày 29/12, công ty chính thức mở quy trình tiếp nhận yêu cầu bồi thường, yêu cầu người dùng cung cấp địa chỉ ví, mã giao dịch và thông tin nhận dạng thông qua cổng hỗ trợ chính thức.

Tuy nhiên, trong quá trình xử lý hơn 5.000 yêu cầu, Trust Wallet cho biết số lượng đơn gửi về vượt xa số ví thực sự được xác minh là bị ảnh hưởng. Điều này làm dấy lên lo ngại về yêu cầu trùng lặp hoặc giả mạo.

Chính sự chênh lệch này đã thúc đẩy Trust Wallet phát triển cơ chế xác minh bổ sung, dự kiến tích hợp trong bản cập nhật tiện ích tiếp theo — nhưng hiện vẫn bị trì hoãn do sự cố từ Chrome Web Store.

Vụ việc tiếp tục nối dài danh sách các sự cố liên quan đến ví cá nhân trong ngành tiền mã hóa. Dữ liệu ngành cho thấy tỷ lệ ví cá nhân bị xâm phạm ngày càng tăng, kéo theo sự gia tăng trong tổng giá trị tài sản bị đánh cắp.