Rối loạn bồi thường Trust Wallet, thách thức trong việc xác định nạn nhân thực sự｜5.000 trường hợp yêu cầu gian lận đã được phát hiện

Khoảng cách giữa yêu cầu bồi thường và thiệt hại thực tế nổi bật

Ví tự quản lý “Trust Wallet” đang đối mặt với những thách thức bất ngờ đã được làm rõ. Theo tuyên bố của CEO Ewin Chen, số lượng yêu cầu bồi thường cho vụ hack sử dụng tiện ích mở rộng trình duyệt ngày 25 tháng 12 đã đạt khoảng 5.000 yêu cầu, trong khi số ví bị thiệt hại thực tế chỉ là 2.596 ví. Sự chênh lệch gấp hơn hai lần này đã được ông Chen chỉ ra có thể bao gồm nhiều yêu cầu giả mạo hoặc đăng ký trùng lặp. Trust Wallet đang triển khai quy trình mới để xác minh tính xác thực của các thiệt hại nhằm đảm bảo độ tin cậy của việc bồi thường.

Tổng thiệt hại do vụ vi phạm an ninh này ước tính khoảng 7 triệu USD (khoảng 11 tỷ đồng), và chính sách bồi thường toàn bộ cho các nạn nhân hợp pháp đã được công bố.

Thực trạng thiệt hại: rò rỉ tài sản do mã độc xâm nhập

Nguyên nhân trực tiếp của vụ việc là do mã độc được nhúng vào phiên bản 2.68 của tiện ích mở rộng Chrome của Trust Wallet. Kẻ tấn công đã lợi dụng lỗ hổng này để gửi tiền điện tử trái phép từ ví của người dùng. Người phát hiện ra sự bất thường này là nhà nghiên cứu bảo mật tiền điện tử ZachXBT, và công ty đã nhanh chóng bắt đầu các biện pháp ngăn chặn thiệt hại mở rộng.

Thông tin quan trọng là, các ứng dụng di động và các tiện ích mở rộng trình duyệt khác không bị ảnh hưởng đã được xác nhận. Công ty đã phát hành khẩn cấp phiên bản sửa lỗi 2.69 và khuyến nghị người dùng vô hiệu hóa tiện ích mở rộng.

Tiến trình bồi thường và tăng cường xác minh

Ngày 27 tháng 12, Trust Wallet đã mở cổng yêu cầu bồi thường cho nạn nhân trên cổng hỗ trợ chính thức. Người yêu cầu cung cấp các thông tin cần thiết như địa chỉ email, địa chỉ ví, địa chỉ nhận của kẻ tấn công qua mẫu đơn riêng.

Người sáng lập sàn giao dịch lớn thuộc công ty mẹ, Champong Zhao, đã xác nhận trên X rằng công ty sẽ chịu toàn bộ thiệt hại này. Đồng thời, công ty cũng cảnh báo về các vụ lừa đảo phishing lợi dụng quy trình bồi thường, khuyến cáo không phản hồi các mẫu đơn bồi thường ngoài trang hỗ trợ chính thức.

Tăng cường quy trình xác minh: xác định nạn nhân thực sự

Nhóm xác minh của Trust Wallet hiện đang rà soát kỹ lưỡng hàng loạt yêu cầu bồi thường. Theo ông Chen, việc kết hợp nhiều điểm dữ liệu như lịch sử giao dịch, thông tin phiên bản tiện ích mở rộng, chứng minh quyền sở hữu ví giúp phân biệt người thiệt hại thực sự và các yêu cầu gian lận.

Công ty rõ ràng ưu tiên độ chính xác của xác minh hơn là tốc độ bồi thường, và đã điều chỉnh mục tiêu xử lý hoàn tiền một cách có chủ đích để ngăn chặn các yêu cầu giả mạo.

Trong quá trình điều tra pháp y kỹ thuật, đã phát hiện dấu vết cho thấy kẻ tấn công có kiến thức sâu về cấu trúc mã nguồn của Trust Wallet. Hiện tại, vẫn đang điều tra khả năng có sự tham gia nội bộ, nhưng chưa có bằng chứng quyết định nào được xác nhận, và cuộc điều tra đang tiếp tục phối hợp với các chuyên gia bên ngoài.

Những điểm yếu căn bản của ví tự quản lý

Vụ việc lần này đã phơi bày rủi ro tiềm ẩn của khái niệm ví tự quản lý. Đặc biệt, với sự phổ biến của tiện ích mở rộng trình duyệt, các tuyến đường cập nhật phần mềm (chuỗi cung ứng) đang bắt đầu được nhận thức như là mục tiêu tấn công mới trong ngành.

Nhiều nhà cung cấp ví cho rằng, dù là ví tự quản lý do người dùng quản lý khóa riêng, nhưng cơ chế phân phối ứng dụng và cập nhật phần mềm vẫn còn phụ thuộc vào trung ương. Các chuyên gia trong ngành nhấn mạnh rằng, “Ngay cả trong ví tự quản lý, nơi người dùng giữ khóa riêng, vẫn có thể tồn tại điểm yếu trong quá trình phân phối ứng dụng hoặc cập nhật phần mềm,” và đề xuất cần áp dụng phương pháp xây dựng có thể tái tạo, kiểm tra tính toàn vẹn, và phân tán quá trình cập nhật để nâng cao độ tin cậy.

Quan điểm này đang thúc đẩy một sự chuyển đổi trong nhận thức về an ninh của toàn bộ thị trường ví tự quản lý.

※Giá trị quy đổi theo tỷ lệ tại thời điểm viết (1 USD = 156.24 JPY)