PeckShield cho biết vụ tấn công Trust Wallet browser extension phiên bản 2.68 đã gây thất thoát hơn 6 triệu USD tài sản tiền điện tử.
Một phần tiền bị đánh cắp vẫn nằm trong địa chỉ của kẻ tấn công, phần còn lại đã được chuyển sang nhiều sàn giao dịch tập trung, làm tăng rủi ro rửa tiền và gây áp lực truy vết dòng tiền. Trust Wallet kêu gọi người dùng ngừng dùng phiên bản này ngay.
- Thiệt hại hơn 6 triệu USD từ Trust Wallet extension v2.68.
- 2,8 triệu USD còn ở ví kẻ tấn công; hơn 4 triệu USD đã vào CEX.
- Dòng tiền chính: ChangeNOW 3,3 triệu USD; FixedFloat 340.000 USD; KuCoin 447.000 USD.
Thiệt hại và phân bổ dòng tiền
Theo PeckShield, tổng tài sản tiền điện tử bị đánh cắp vượt 6 triệu USD, trong đó 2,8 triệu USD vẫn ở địa chỉ của kẻ tấn công và hơn 4 triệu USD đã được chuyển tới các sàn giao dịch tập trung.
Các điểm đến cụ thể gồm khoảng 3,3 triệu USD chảy vào ChangeNOW, khoảng 340.000 USD vào FixedFloat và khoảng 447.000 USD vào KuCoin. Việc phân tán qua nhiều điểm trung gian có thể khiến quá trình truy vết phức tạp hơn, đặc biệt khi dòng tiền được chia nhỏ và luân chuyển nhanh.
Số liệu nêu trên cho thấy phần lớn giá trị bị đánh cắp đã rời khỏi ví của kẻ tấn công để đi vào các nền tảng trao đổi, nơi có thể được hoán đổi sang tài sản khác hoặc rút ra. Phần 2,8 triệu USD còn lại trong địa chỉ kẻ tấn công có thể là mục tiêu ưu tiên cho hoạt động giám sát on-chain và cảnh báo rủi ro.
Khuyến cáo người dùng Trust Wallet
Trust Wallet kêu gọi người dùng ngay lập tức ngừng sử dụng Trust Wallet browser extension phiên bản 2.68.
Khuyến cáo này tập trung vào việc hạn chế tiếp xúc thêm với phiên bản bị ảnh hưởng, giảm nguy cơ phát sinh thiệt hại mới. Người dùng đang sử dụng phiên bản 2.68 cần ưu tiên dừng hoạt động trên extension này để tránh rủi ro tiếp tục bị khai thác.