Sự cố Trust Wallet nghiêm trọng hơn khi CZ gợi ý có thể có người bên trong liên quan

Sau vụ việc liên quan đến tiện ích mở rộng Chrome của Trust Wallet, câu chuyện tiếp tục trở nên nóng hơn vào ngày 26/12/2023 khi Changpeng Zhao (CZ) công khai lên tiếng, cho rằng có thể vụ rò rỉ này có liên quan đến người nội bộ.

Thông tin này xuất hiện sau khi Trust Wallet xác nhận đã có khoảng 7 triệu USD của người dùng bị ảnh hưởng cho đến thời điểm hiện tại.

Tiếp cận nội bộ là hướng điều tra chính

CZ cho biết Trust Wallet sẽ hoàn tiền đầy đủ cho tất cả người dùng chịu ảnh hưởng và khẳng định rằng tiền của khách hàng vẫn được đảm bảo an toàn.

Tuy nhiên, ông cũng nói thêm rằng các nhà điều tra vẫn đang làm rõ lý do tại sao bản cập nhật tiện ích mở rộng Chrome bị cài mã độc lại có thể vượt qua vòng kiểm tra trước khi phát hành, và cho rằng khả năng người nội bộ can thiệp vào quá trình này là “cao nhất”.

Những phát biểu trên đã làm dấy lên lo ngại về việc quản lý quyền truy cập nội bộ và quy trình cập nhật phần mềm, chứ không chỉ đơn giản là tấn công từ bên ngoài.

Trust Wallet sau đó xác nhận rằng sự cố chỉ ảnh hưởng đến phiên bản tiện ích mở rộng trình duyệt 2.68, nhấn mạnh thêm người dùng trên điện thoại và các phiên bản khác không bị ảnh hưởng.

Công ty cho biết đang hoàn thiện quy trình hoàn tiền và sẽ sớm gửi hướng dẫn cụ thể đến những người dùng có liên quan.

Trong lúc này, người dùng cần cảnh giác với các hình thức giả mạo bộ phận hỗ trợ chính thức nhằm lừa đảo.

Thông tin về nghi vấn người nội bộ liên quan đến sự việc đang làm cộng đồng an ninh crypto đặc biệt chú ý. Việc cập nhật tiện ích mở rộng trình duyệt đòi hỏi phải có khóa ký, thông tin xác thực của nhà phát triển và quy trình phê duyệt cập nhật nghiêm ngặt.

Để một bản cập nhật bị cài mã độc được phát hành qua Chrome Web Store chính thức, các nhà điều tra thường xem xét hai khả năng: bị đánh cắp thông tin đăng nhập hay có sự cấu kết trực tiếp từ bên trong.

Dù kịch bản nào xảy ra cũng đều chỉ ra lỗ hổng về mặt bảo mật nội bộ thay vì lỗi về kỹ thuật phần mềm truyền thống.

Những rủi ro này không chỉ là lý thuyết. Trong năm qua, một số sự cố liên quan đến tiện ích mở rộng trình duyệt nổi tiếng đã bắt nguồn từ việc tài khoản nhà phát triển bị tấn công hoặc quy trình phát hành bị chiếm quyền kiểm soát.

TWT token giảm nhẹ trong thời gian ngắn trước khi phục hồi

Phản ứng của thị trường cho thấy sự bất ổn. Token gốc của Trust Wallet là TWT đã bị bán tháo mạnh sau khi có báo cáo đầu tiên vào ngày 25/12/2023.

Tuy nhiên, giá TWT đã ổn định trở lại và phục hồi vào ngày 26/12/2023 sau khi Trust Wallet xác nhận thiệt hại được kiểm soát và có kế hoạch hoàn tiền cho người dùng.

Dù Trust Wallet đã xử lý nhanh chóng vụ việc, câu chuyện lần này cho thấy thách thức lớn trong toàn ngành. 

Khi các loại ví crypto ngày càng phụ thuộc vào tiện ích mở rộng trình duyệt, vấn đề bảo mật cập nhật và rủi ro bị người nội bộ khai thác đang trở thành một điểm yếu nguy hiểm, chứ không còn là chuyện phụ trong lĩnh vực này.