Giao dịch
Cơ bản
Giao ngay
Giao dịch tiền điện tử một cách tự do
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
ETF
Sản phẩm ETF có thuộc tính đòn bẩy giao dịch giao ngay không cần vay không cháy tải khoản
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Nâng cao
DEX
Giao dịch trên chuỗi với Gate Wallet
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Bot
Giao dịch chỉ bằng một cú nhấp chuột với các chiến lược thông minh tự động chạy
Sao chép
Tăng trưởng sự giàu có bằng cách theo dõi các nhà giao dịch hàng đầu
Giao dịch CrossEx
Beta
Một số dư ký quỹ, chia sẻ xuyên nền tảng
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Chủ đề thịnh hành
Xem thêm35.67K Phổ biến
19.1K Phổ biến
6.15K Phổ biến
56.58K Phổ biến
343.26K Phổ biến
Ghim
Trust Wallet tiện ích Chrome phiên bản 2.68 gặp sự cố bảo mật: Script ẩn thu thập khóa cá nhân của người dùng
Vào giữa tháng 12 năm 2025, một sự cố bảo mật nghiêm trọng được phát hiện trong phiên bản 2.68 của tiện ích mở rộng Trust Wallet dành cho trình duyệt Chrome. Theo những báo cáo từ các nạn nhân và nhà nghiên cứu bảo mật, một đoạn mã ẩn đã có khả năng thu thập các khóa riêng tư và seed phrase của người dùng. Sự cố này được lan truyền rộng rãi ngay sau khi phiên bản bị lỗi được triển khai, kích hoạt một cuộc khủng hoảng tài sản tiền mã hóa chưa từng xảy ra.
Quy mô thiệt hại và tốc độ lan truyền
Theo các thống kê công khai ban đầu, tổng thiệt hại được ghi nhận trong 48 đến 72 giờ đầu tiên nằm trong khoảng từ 6 triệu đến hơn 7 triệu đô la trên nhiều chuỗi khối khác nhau. Trust Wallet hiện đã xác nhận rằng sẽ hoàn tiền cho tất cả những người dùng bị ảnh hưởng.
Chrome Web Store cho thấy tiện ích này có khoảng 1 triệu người dùng cài đặt, tạo ra một kịch bản tiềm ẩn về phạm vi ảnh hưởng thực tế. Tuy nhiên, mức độ phơi nhiễm chính xác phụ thuộc vào số lượng những người đã cài đặt phiên bản 2.68 và nhập dữ liệu nhạy cảm trong khoảng thời gian nó hoạt động. Phiên bản 2.69 được phát hành vào ngày 25 tháng 12 là bản vá khẩn cấp, đánh dấu thời điểm nhà cung cấp giải quyết vấn đề sau khi sự cố được công bố rộng rãi.
Cơ chế tấn công: Script ẩn và file “4482.js”
Các nhà nghiên cứu bảo mật kiểm tra gói phiên bản 2.68 đã phát hiện logic đáng ngờ trong một tập tin JavaScript. Đoạn mã này chứa tham chiếu đến file có tên “4482.js”, được cho là có khả năng truyền bí mật ví đến một máy chủ bên ngoài. Phương pháp thu thập thông tin này được coi là một trong những cách tấn công tinh vi nhất trong lĩnh vực tiện ích mở rộng ví.
Hiện tại, các báo cáo cho thấy các vụ trộm chủ yếu tập trung vào người dùng đã nhập hoặc khôi phục seed phrase sau khi cài đặt phiên bản bị ảnh hưởng. Seed phrase có thể mở khóa các địa chỉ hiện tại và tương lai được tạo từ nó, khiến đây trở thành một lỗ hổng có độ ưu tiên cao nhất.
Những nguy hiểm thứ cấp: Lừa đảo giả mạo “fix”
Cùng lúc với sự cố chính, các nhà báo cáo bảo mật cảnh báo về các chiêu trò lừa đảo thứ cấp. Những kẻ lừa đảo đã tạo ra các miền giả mạo với tên gần giống như các trang “khắc phục sự cố” chính thức, nhằm mục đích lừa người dùng cung cấp seed phrase dưới vỏ bọc sửa chữa vấn đề. Đối với người dùng, sự khác biệt giữa cập nhật tiện ích và các trang khắc phục giả mạo là vô cùng quan trọng.
Trust Wallet khuyến cáo người dùng không tương tác với bất kỳ tin nhắn nào không đến từ kênh chính thức, cảnh báo rằng kẻ lừa đảo có thể giả mạo các thành viên đội ngũ hỗ trợ trong quá trình “xử lý sự cố”.
Hướng dẫn cấp tính cho người dùng bị ảnh hưởng
Trường hợp 1: Người dùng chưa bao giờ nhập seed phrase khi dùng phiên bản 2.68
Những người dùng này chỉ cần nâng cấp lên phiên bản 2.69 từ Chrome Web Store. Cập nhật này loại bỏ hành vi độc hại được nghi ngờ khỏi tiện ích mở rộng. Không cần thực hiện các bước phục hồi bổ sung.
Trường hợp 2: Người dùng đã nhập hoặc khôi phục seed phrase khi cài đặt 2.68
Những người dùng này phải coi seed phrase đó đã bị xâm phạm hoàn toàn. Các bước cấp tính bao gồm:
Những hành động này có thể tốn kém về chi phí vận hành cho người dùng bán lẻ, yêu cầu thiết lập lại vị thế trên nhiều chuỗi khối và ứng dụng. Trong một số trường hợp, người dùng còn phải cân nhân giữa tốc độ giao dịch và độ chính xác khi chi phí gas và rủi ro cầu nối là một phần của quy trình phục hồi.
Tiện ích mở rộng ở vị trí nhạy cảm của hệ thống bảo mật
Tiện ích mở rộng ví nằm ở một vị trí độc nhất vô nhị giữa các ứng dụng web và quy trình ký giao dịch. Bất kỳ sự xâm phạm nào cũng có thể nhằm vào chính những đầu vào mà người dùng dựa vào để xác minh giao dịch, tạo ra một điểm yếu hệ thống rộng lớn.
Nghiên cứu học thuật đã chỉ ra rằng các tiện ích độc hại hoặc bị xâm phạm có thể né tránh kiểm duyệt tự động trên Chrome Web Store. Theo các bài báo trên arXiv về phát hiện tiện ích độc hại, hiện tượng “concept drift” và các hành vi tiến hóa có thể làm giảm hiệu quả của các phương pháp tĩnh. Điều này càng rõ ràng hơn khi một bản cập nhật tiện ích ví được nghi ngờ thu thập bí mật thông qua mã được làm rối.
Triển vọng tổn thất trong các tuần tới
Khoảng thiệt hại hiện tại vẫn còn có thể thay đổi vì nhiều lý do thường gặp trong điều tra vụ trộm, bao gồm báo cáo trễ của nạn nhân, phân loại lại địa chỉ và cải thiện khả năng quan sát các giao dịch hoán đổi chuỗi chéo. Một dự báo thực tế trong 2 đến 8 tuần tới có thể xây dựng thành các kịch bản dựa trên các biến số có thể đo lường:
Tác động đến hệ sinh thái và chính sách
Sự cố xảy ra trong bối cảnh các phần mềm tiền mã hóa hướng đến người dùng bán lẻ bị giám sát chặt chẽ hơn về cách xử lý bí mật trên các thiết bị đa dụng. Báo cáo vụ trộm tiền đủ lớn để thu hút sự chú ý từ các nhà hoạch định chính sách và các nền tảng lớn.
Sự cố cũng củng cố lời kêu gọi kiểm soát tính toàn vẹn bản dựng, bao gồm các bản dựng có thể tái tạo, ký tách khóa và các lựa chọn quay lại rõ ràng hơn khi cần vá nóng khẩn cấp.
Tình hình giá TWT sau sự cố
Thị trường token đã phản ánh thông tin này với những biến động nhưng không có sự định giá lại theo một hướng duy nhất. Số liệu mới nhất cho thấy giá Trust Wallet Token (TWT) hiện tại là $0.95, tăng 0.34% trong 24 giờ qua. Mức cao trong ngày là $0.97 và mức thấp là $0.88.
Mặc dù sự cố bảo mật nghiêm trọng, thị trường vẫn cho thấy một mức độ ổn định nhất định, có lẽ do tin tưởng vào cam kết hoàn tiền của Trust Wallet và tốc độ phát hành bản vá.
Khuyến cáo cuối cùng từ Trust Wallet
Trust Wallet nhấn mạnh rằng chỉ phiên bản tiện ích mở rộng Chrome bị ảnh hưởng. Người dùng di động và các phiên bản khác của tiện ích mở rộng không bị ảnh hưởng. Công ty vẫn khuyến cáo tắt tiện ích phiên bản 2.68 ngay lập tức và nâng cấp lên 2.69 từ Chrome Web Store. Những người dùng đã nhập seed phrase khi sử dụng 2.68 cần coi seed đó đã bị xâm phạm và chuyển tài sản sang ví mới được tạo từ seed phrase mới. Quá trình hoàn tiền của công ty đang tiến hành, với các hướng dẫn chi tiết về các bước tiếp theo sẽ được chia sẻ sớm.