TrustWallet được Binance hậu thuẫn, là một trong những ví tự lưu ký phổ biến nhất trong lĩnh vực crypto, đã bị hack theo cách kỳ quặc. Kẻ xấu đã đánh cắp được cụm từ seed phrase, tự động khôi phục ví và lấy đi hơn 7 triệu đô la bằng nhiều loại crypto khác nhau.
Đây là cách TrustWallet bị hack và tại sao lại gây hậu quả nghiêm trọng đến vậy
Hôm nay, ngày 26 tháng 12 năm 2025, TrustWallet, một ví crypto đa chuỗi phổ biến, đã bị tấn công bởi hacker. Theo tiết lộ từ các nhà nghiên cứu an ninh mạng, một mã độc — payload JavaScript — đã được chèn vào bản build v2.68.0 của tiện ích mở rộng TrustWallet trên trình duyệt Google Chrome.
TrustWallet đã triển khai tiện ích mở rộng Chrome bị nhiễm mã độc v2.68.0 vào ngày 24 tháng 12 năm 2025. Ngay sau đó, người dùng nhập hoặc truy cập seed phrase qua phiên bản này đã bị mất tiền ngay lập tức.
Về mặt kỹ thuật, phương thức tấn công là như sau: phần mềm độc hại được ví nhận diện là một module phân tích dữ liệu. Thay vào đó, nó tiếp cận seed phrase và gửi chúng đến các tên miền được tạo vài ngày trước đó.
Để tránh bị phát hiện, các tên miền này được ngụy trang bằng các tên như "TrustWallet Metrics", "TrustWallet Metrics API" và các tiêu đề tương tự. Đồng thời, khi mnemonic bị lộ, kẻ xấu chỉ cần khôi phục ("import") ví trên hạ tầng của chúng và rút tiền một cách hợp pháp.
Thiết kế này khiến vụ hack trở nên vô cùng nguy hiểm và âm thầm; khi seed phrase bị đánh cắp, không cần phê duyệt, xác thực hay thậm chí mở ví. Do đó, khuyến nghị duy nhất từ các nhà nghiên cứu bảo mật là ngắt kết nối máy tính cài đặt TrustWallet khỏi internet.
Cuộc tấn công đã ảnh hưởng đến tài sản trên Bitcoin (BTC), Solana (SOL), BNB Smart Chain (BSC) và một số L2 thuộc hệ sinh thái EVM.
Đội ngũ TrustWallet lên tiếng: Liệu có bồi thường thiệt hại?
Tiền bị đánh cắp ngay lập tức được chuyển đến ChangeNOW, FixedFloat, KuCoin và HTX. Ban đầu, người dùng thậm chí không thể thống kê được số lượng crypto bị lấy cắp.
Theo thông báo chính thức từ TrustWallet, tổng thiệt hại lên tới 7 triệu đô la Mỹ. Các nhà phát triển đã phát hành bản build v2.69.0 và khuyến khích tất cả mọi người nâng cấp.
Đội ngũ TrustWallet cam kết rằng mọi nạn nhân sẽ được hoàn tiền. Chi tiết cụ thể của chương trình bồi thường sẽ được công bố sau.
Giá TWT ngay lập tức giảm xuống còn 0,76 đô la, mức thấp nhất kể từ giữa tháng 9, mất 8% chỉ trong thời gian ngắn. Đến thời điểm đưa tin, khoản lỗ đã được hấp thụ.
