Một ví tiền mã hóa thuộc hệ sinh thái Binance vừa bị phát hiện tồn tại lỗ hổng bảo mật nghiêm trọng, khiến tài sản người dùng có nguy cơ bị rút trái phép. Cảnh báo được đưa ra bởi thám tử on-chain ZackXBT, người cho biết lỗ hổng này đã bị khai thác trên thực tế và gây thiệt hại hàng triệu USD.
Theo thông báo chính thức từ Trust Wallet, vấn đề nằm ở phiên bản extension 2.68 trên trình duyệt web. Lỗ hổng cho phép hacker truy cập và đánh cắp tài sản mà không cần sự cho phép trực tiếp từ người dùng. Trust Wallet xác nhận ứng dụng di động không bị ảnh hưởng, song khuyến cáo toàn bộ người dùng máy tính và laptop phải lập tức cập nhật lên phiên bản 2.69 để đảm bảo an toàn.
ZackXBT cho biết lỗ hổng nói trên đã khiến hơn 6 triệu USD bị đánh cắp chỉ trong thời gian ngắn, với hàng trăm địa chỉ ví được ghi nhận là nạn nhân. Dù chi tiết kỹ thuật chưa được công bố, thời điểm xảy ra các vụ tấn công trùng khớp với giai đoạn Trust Wallet triển khai bản cập nhật extension trước đó, làm dấy lên lo ngại về rủi ro bảo mật phát sinh từ phiên bản 2.68.
Trên mạng xã hội, nhiều người dùng phản ánh ví bị rút sạch tài sản chỉ trong vài giờ mà không có bất kỳ thao tác giao dịch nào. ZackXBT đã công bố danh sách các địa chỉ nhận tiền nghi liên quan đến vụ việc, trải rộng trên nhiều blockchain như EVM, Bitcoin và Solana, đồng thời kêu gọi các nạn nhân liên hệ để đối soát và mở rộng quá trình điều tra.
Khuyến nghị dành cho người dùng Trust Wallet (extension)
Người dùng cần cập nhật ngay extension lên phiên bản 2.69 trên trình duyệt. Trong trường hợp chưa thể cập nhật, nên tạm thời ngừng mọi giao dịch, đồng thời kiểm tra lại lịch sử giao dịch và quyền truy cập của các dApp đã kết nối. Việc thu hồi (revoke) quyền đối với các smart contract không cần thiết được khuyến nghị nhằm giảm thiểu rủi ro. Nếu phát hiện dấu hiệu bất thường, người dùng cần nhanh chóng liên hệ bộ phận hỗ trợ của Trust Wallet và lưu giữ đầy đủ bằng chứng giao dịch.
We’ve identified a security incident affecting Trust Wallet Browser Extension version 2.68 only. Users with Browser Extension 2.68 should disable and upgrade to 2.69.
— Trust Wallet (@TrustWallet) December 25, 2025
Please refer to the official Chrome Webstore link here: https://t.co/V3vMq31TKb
Please note: Mobile-only users…
Vụ việc một lần nữa cho thấy ví extension vẫn là điểm tấn công ưa thích của hacker, đặc biệt khi người dùng chậm cập nhật phiên bản mới. Trong bối cảnh các cuộc tấn công ngày càng tinh vi và diễn ra đồng thời trên nhiều blockchain, yếu tố bảo mật và phản ứng kịp thời tiếp tục là tuyến phòng thủ quan trọng nhất đối với nhà đầu tư crypto.
