Ví Trust gặp lỗ hổng bảo mật lớn! Đừng nhập các cụm từ ghi nhớ và nâng cấp lên 2.69 càng sớm càng tốt, ít nhất 6 triệu USD đã bị đánh cắp

Sáng nay Trust Wallet đã xác nhận rằng phiên bản tiện ích mở rộng trình duyệt 2.68 có một lỗ hổng nghiêm trọng, điều này sẽ gây ra tổn thất trên chuỗi và người dùng phải nâng cấp ngay lập tức lên 2.69.
(Tóm tắt sơ bộ: CZ retweet đã kích nổ TWT token Trust Wallet tăng vọt 40%; hướng tới kỷ nguyên 1 tỷ người dùng Web3)
(Bổ sung nền tảng: "Ví như một dịch vụ" WaaS do Trust Wallet đưa ra là gì, phân tích ưu nhược điểm, liệu nó có thể trở thành xu hướng chủ đạo trong tương lai không? )

Ví tiền điện tử Trust Wallet Một cảnh báo bảo mật lớn đã được đưa ra vào khoảng ngày 6 sáng hôm nay (26), xác nhận rằng phiên bản 2.68 của tiện ích mở rộng trình duyệt của nó có một lỗ hổng nghiêm trọng, dẫn đến tài sản của người dùng bị chảy ra ngoài. Theo dõi của thám tử ZachXBT trên chuỗi cho thấy số nạn nhân đã lên tới hàng trăm và thiệt hại ban đầu được ước tính vào khoảng 6 triệu USD.

Đối với người dùng chưa cập nhật lên Tiện ích mở rộng phiên bản 2.69, vui lòng không mở Tiện ích mở rộng trình duyệt cho đến khi bạn cập nhật. Điều này có thể giúp đảm bảo tính bảo mật cho ví của bạn và ngăn chặn các vấn đề khác.

— Trust Wallet (@TrustWallet) ngày 26 tháng 12 năm 2025

Chi tiết về lỗ hổng và quy mô tổn thất

Thông báo chính thức chỉ ra rằng các đối tượng bị ảnh hưởng là những người dùng đã cài đặt tiện ích mở rộng phiên bản 2.68 trên phiên bản di động. Trust Wallet nhấn mạnh trong thông báo:

"Chúng tôi đã phát hành bản vá cho phiên bản 2.69, vui lòng tất cả người dùng tiện ích mở rộng trình duyệt nâng cấp ngay lập tức."

Nếu bạn cũng là người dùng Trust Wallet và đã cài đặt phiên bản 2.68, "Vui lòng không nhập cụm từ ghi nhớ" và tốt nhất nên nâng cấp thông qua liên kết chính thức của Chrome Online App Store. Các cụm từ ghi nhớ được nhập trong môi trường bị ô nhiễm được xử lý tốt nhất dưới dạng rò rỉ và tốt nhất là tạo ví mới và di chuyển số dư (nên chuyển tài sản sang ví thương hiệu khác trước khi vấn đề chính thức được giải quyết hoàn toàn).

Tập lệnh độc hại 4482.js đã lẻn vào thông qua các bản cập nhật chính thức

Được hiểu rằng kẻ tấn công đã chèn một tệp có tên 4482.js trong quá trình đóng gói và tuyên bố rằng nó được sử dụng cho "Analytics". Khi phát hiện người dùng nhập cụm từ ghi nhớ, nó sẽ gửi dữ liệu đến miền đã đăng kýmetrics-trustwallet.com, sau đó sử dụng các tập lệnh tự động để nhanh chóng rút tài sản khỏi chuỗi tương thích EVM, Bitcoin và Solana.

Hiện tại, các cá nhân nạn nhân đã báo cáo thiệt hại từ hàng chục nghìn đến hàng trăm nghìn đô la. Chúng tôi sẽ tiếp tục theo dõi bước tiếp theo chính thức để có được khoản bồi thường tiềm năng.