Bản vá mới nhất của Trust Wallet vẫn để lộ lỗ hổng bảo mật, cảnh báo Mist chậm trễ tiết lộ

Các nhà nghiên cứu bảo mật từ Slow Mist đã đưa ra cảnh báo nghiêm trọng về tiện ích mở rộng trình duyệt Trust Wallet, cảnh báo rằng ngay cả sau bản cập nhật mới nhất, một lỗ hổng đáng kể vẫn còn tồn tại. Theo báo cáo của mist, phiên bản 2.69.0, vốn được cho là đã khắc phục các mối đe dọa bảo mật trước đó, vẫn chứa mã độc gây nguy hiểm đến an toàn tài sản của người dùng.

Rủi ro liên tục: PostHog JS vẫn còn tồn tại

Cuộc điều tra cho thấy mã PostHog JS vẫn còn được nhúng trong phiên bản đã vá lỗi mặc dù Trust Wallet đã cố gắng sửa chữa vấn đề. Điều này đặc biệt đáng lo ngại vì tính chất nghiêm trọng của lỗ hổng ban đầu — mã độc được thiết kế để chặn thông tin nhạy cảm của ví, bao gồm seed phrases và recovery mnemonics, được truyền đến một máy chủ kiểm soát bởi kẻ tấn công tại api.metrics-trustwallet.com.

Dòng thời gian của sự cố bảo mật

Phiên bản 2.68.0 của tiện ích mở rộng trình duyệt Trust Wallet ban đầu được xác định chứa các script độc hại có khả năng thu thập dữ liệu quan trọng của ví. Trong khi nhóm phát triển đã phản hồi bằng cách phát hành phiên bản 2.69.0 như một biện pháp khắc phục, báo cáo của Slow Mist cho thấy các thành phần mã độc nguy hiểm vẫn chưa được loại bỏ hoàn toàn trong quá trình cập nhật.

Điều này có ý nghĩa gì đối với người dùng

Việc PostHog JS vẫn còn tồn tại trong phiên bản cập nhật thể hiện một lỗ hổng rủi ro chưa được giải quyết triệt để. Người dùng đã nâng cấp lên 2.69.0 có thể vẫn đối mặt với các nguy cơ liên quan đến việc thu thập dữ liệu và khả năng lộ thông tin nhạy cảm nhất của họ. Việc Slow Mist phải phát hành cảnh báo tiếp theo cho thấy bản vá vẫn chưa đủ toàn diện để khắc phục triệt để.

Sự cố này nhấn mạnh tầm quan trọng của việc thực hành an ninh cảnh giác và cần kiểm tra kỹ lưỡng trước khi triển khai các tiện ích mở rộng trình duyệt xử lý dữ liệu mã hóa nhạy cảm.