Trust Wallet cho biết plugin trình duyệt phiên bản 2.68 đã bị kẻ tấn công tải lên Chrome Web Store mà không qua rà soát nội bộ, dẫn đến mã độc có thể thực thi giao dịch và đánh cắp dữ liệu ví, gây thiệt hại ước tính khoảng 8,5 triệu USD.
Sự cố được xác nhận ảnh hưởng tới 2.520 địa chỉ ví và được Trust Wallet nhận định có liên quan tới vụ việc chuỗi cung ứng Sha1-Hulud trên toàn ngành trong tháng 11, làm nổi bật rủi ro mới với lĩnh vực tiền điện tử.
- Plugin Trust Wallet 2.68 bị tải lên trái phép kèm mã độc.
- 2.520 địa chỉ ví bị ảnh hưởng, thiệt hại khoảng 8,5 triệu USD.
- Đã rollback lên bản an toàn 2.69 và mở quy trình bồi thường.
Sự cố plugin Chrome: mã độc có thể tự ý giao dịch
Trust Wallet cho biết phiên bản plugin trình duyệt 2.68 đã bị kẻ tấn công đăng tải lên Chrome Web Store mà không có bước kiểm duyệt nội bộ.
Theo mô tả, mã độc trong plugin có thể thực thi giao dịch và đánh cắp dữ liệu ví mà không cần người dùng ủy quyền. Điều này khiến rủi ro không chỉ dừng ở lộ thông tin, mà còn có thể dẫn tới chuyển tài sản trái phép trực tiếp từ ví liên quan.
Trust Wallet xác nhận phạm vi ảnh hưởng gồm 2.520 địa chỉ ví, với tổng thiệt hại ước tính khoảng 8,5 triệu USD. Sự cố tập trung vào kênh phân phối qua cửa hàng tiện ích trình duyệt, nơi người dùng thường tin tưởng cập nhật tự động.
Liên hệ Sha1-Hulud và các bước khắc phục
Điều tra ban đầu cho thấy vụ việc có liên quan tới sự cố chuỗi cung ứng Sha1-Hulud trên toàn ngành xảy ra trong tháng 11.
Trust Wallet đã rollback plugin sang phiên bản an toàn 2.69 và bắt đầu quy trình bồi thường cho người dùng bị ảnh hưởng. Việc khôi phục phiên bản nhằm loại bỏ mã độc khỏi kênh phân phối, đồng thời hạn chế phát sinh thêm thiệt hại từ các bản cài đặt hoặc cập nhật chưa được nhận diện.
Trust Wallet nhận định đây là lời cảnh báo về dạng tấn công chuỗi cung ứng mới đang nhắm vào ngành tiền điện tử, khi kẻ tấn công lợi dụng hệ sinh thái cập nhật/phân phối phần mềm để cài mã độc vào sản phẩm phổ biến.
