Giao dịch
Loại giao dịch
Giao ngay
Giao dịch tiền điện tử một cách tự do
Trước giờ mở cửa
Giao dịch các token mới trước khi chúng được niêm yết chính thức
Giao dịch ký quỹ
Tăng lợi nhuận của bạn với đòn bẩy
Giao dịch khối & Chuyển đổi
0 Fees
Giao dịch bất kể khối lượng, không mất phí, không trượt giá
Alpha
Point
Nhận các token đầy hứa hẹn trong giao dịch trên chuỗi được tối ưu hóa
Token đòn bẩy
Sản phẩm ETF có thuộc tính đòn bẩy, giao dịch giao ngay, không cần vay, không cháy tải khoản
Futures
Futures
Hàng trăm hợp đồng được thanh toán bằng USDT hoặc BTC
Quyền chọn
HOT
Giao dịch với các quyền chọn kiểu Châu Âu
Tài khoản hợp nhất
Tối đa hóa hiệu quả sử dụng vốn của bạn
Giao dịch demo
Bắt đầu với Hợp đồng
Nắm vững kỹ năng giao dịch hợp đồng từ đầu
Sự kiện tương lai
Tham gia các sự kiện để giành được những phần thưởng hậu hĩnh
Giao dịch demo
Sử dụng tiền ảo để trải nghiệm giao dịch không rủi ro
Kiếm tiền
Launch
CandyDrop
Sưu tập kẹo để kiếm airdrop
Launchpool
Thế chấp nhanh, kiếm token mới tiềm năng
HODLer Airdrop
Nắm giữ GT và nhận được airdrop lớn miễn phí
Launchpad
Đăng ký sớm dự án token lớn tiếp theo
Điểm Alpha
NEW
Giao dịch tài sản on-chain và tận hưởng phần thưởng airdrop!
Điểm Futures
NEW
Kiếm điểm futures và nhận phần thưởng airdrop
Đầu tư
Simple Earn
Kiếm lãi từ các token nhàn rỗi
Đầu tư tự động
Đầu tư tự động một cách thường xuyên.
Sản phẩm tiền kép
Mua thấp và bán cao để kiếm lợi nhuận từ biến động giá
Soft Staking
Kiếm phần thưởng với staking linh hoạt
Vay Crypto
0 Fees
Thế chấp một loại tiền điện tử để vay một loại khác
Trung tâm cho vay
Trung tâm cho vay một cửa
Trung tâm tài sản VIP
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản của bạn
Quản lý tài sản cá nhân
Quản lý tài sản tùy chỉnh giúp tăng trưởng tài sản kỹ thuật số của bạn
Quỹ định lượng
Đội ngũ quản lý tài sản hàng đầu giúp bạn kiếm lợi nhuận mà không cần lo lắng
Staking
Stake tiền điện tử để kiếm tiền từ các sản phẩm PoS
Đòn bẩy thông minh
NEW
Không bị thanh lý bắt buộc trước hạn, không phải lo lắng về lợi nhuận đòn bẩy
Đúc GUSD
Sử dụng USDT/USDC để đúc GUSD với lợi suất tương đương kho bạc
Thêm
Khuyến mãi
Trung tâm hoạt động
Tham gia các hoạt động và giành nhiều giải thưởng tiền mặt lớn cùng nhiều quà tặng độc quyền
Giới thiệu
20 USDT
Kiếm 40% hoa hồng hoặc phần thưởng lên đến 500 USDT
Thông báo
Thông báo về niêm yết mới, hoạt động, nâng cấp, v.v.
Gate Blog
Các Bài Báo Về Tiền Điện Tử
Dịch vụ VIP
Chiết khấu phí lớn
Bằng chứng dự trữ
Gate cam kết 100% bằng chứng dự trữ
Đại lý
Tận hưởng hoa hồng độc quyền và kiếm được lợi nhuận cao
Quản lý tài sản
NEW
Giải pháp quản lý tài sản toàn diện
Tổ chức
NEW
Giải pháp tài sản kỹ thuật số chuyên nghiệp cho các tổ chức
Chuyển khoản ngân hàng OTC
Nạp và rút tiền pháp định
Chương trình Môi giới
Cơ chế hoàn tiền API hào phóng
Gate Vault
Giữ tài sản của bạn an toàn
Trust Wallet bị cướp vào dịp Giáng sinh: Tin tặc khai thác lỗ hổng mở rộng quy mô để đánh cắp hơn 6 triệu đô la
Một lần cập nhật mở rộng Chrome tưởng chừng bình thường đã trở thành khởi đầu của một vụ trộm cắp tài sản mã hóa lớn. Vào ngày 24 tháng 12, Trust Wallet đã gửi bản cập nhật tính năng mở rộng đến Chrome Web Store, với phiên bản 2.68.
Vào ngày 25 tháng 12, ngày lễ Giáng sinh, những nạn nhân đầu tiên thức dậy phát hiện số tiền trong ví đã bị chuyển đi mà không được phép. Nhà điều tra blockchain ZachXBT nhanh chóng vào cuộc điều tra và phát đi cảnh báo khẩn cấp trên nhóm Telegram.
Khi cuộc điều tra tiến triển, toàn bộ sự việc dần dần lộ diện: chỉ có phiên bản 2.68 của tiện ích mở rộng trình duyệt bị ảnh hưởng, các phiên bản di động và các phiên bản khác không bị ảnh hưởng.
01 Tổng quan sự kiện: Sự cố an ninh Giáng sinh và phản ứng đa chiều
Ngày 25 tháng 12 năm 2025, một ngày lễ Giáng sinh vốn dĩ tràn đầy niềm vui, lại trở thành cơn ác mộng của hàng trăm người dùng Trust Wallet. Nhà điều tra blockchain ZachXBT đã phát đi cảnh báo, chỉ ra rằng hàng trăm người dùng nền tảng Trust Wallet đã bị mất tiền, thiệt hại ít nhất đã đạt tới 6 triệu USD.
Trust Wallet là ví tiền mã hóa thuộc sở hữu của Binance, tuyên bố có hàng chục triệu người dùng. Là ví không giữ quyền kiểm soát hàng đầu trong ngành, nó hỗ trợ nhiều blockchain chính như Ethereum, Binance Smart Chain và tích hợp chặt chẽ với nhiều nền tảng DeFi.
Sau sự kiện, chính thức từ Trust Wallet đã phát đi cảnh báo an ninh, xác nhận rằng phiên bản 2.68 của tiện ích mở rộng trình duyệt có lỗ hổng bảo mật, và nhanh chóng ra mắt bản vá 2.69 để khắc phục.
Sáng lập Binance CZ cũng đã phản hồi trên mạng xã hội, cho biết thiệt hại do lỗ hổng này ước tính khoảng 7 triệu USD, nền tảng sẽ hoàn trả toàn bộ cho người dùng bị ảnh hưởng, quỹ “SAFU” (quỹ an toàn tài sản).
02 Dòng thời gian tấn công: Kế hoạch tỉ mỉ của vụ trộm Giáng sinh
Dòng thời gian của sự cố an ninh này cho thấy kẻ tấn công đã lên kế hoạch rất cẩn thận. Vào đêm Giáng sinh ngày 24 tháng 12, Trust Wallet đã gửi bản cập nhật mở rộng đến Chrome Web Store, phần lớn người dùng đã tự động hoặc thủ công cập nhật trong không khí lễ hội.
Chỉ sau vài giờ, vào sáng ngày 25 tháng 12, khoảng thời gian từ sáng sớm đến trưa theo giờ miền Đông Mỹ, những nạn nhân đầu tiên bắt đầu phát hiện ra các khoản tiền bị chuyển bất thường. ZachXBT sau khi nhận được nhiều báo cáo đã phát đi cảnh báo công khai trên Telegram vào buổi trưa địa phương.
Hành vi chuyển tiền kéo dài hơn 30 giờ, bắt đầu từ các báo cáo ban đầu, thời gian khá dài. Trong suốt thời gian tài sản của người dùng liên tục bị trộm cắp, chính thức từ Trust Wallet vẫn đăng tải các nội dung chúc mừng lễ hội và hoạt động marketing, sự trái ngược rõ rệt này đã gây phẫn nộ trong cộng đồng.
Cho đến ngày 26 tháng 12, tức là hơn 30 giờ sau khi sự việc xảy ra, đại diện của Trust Wallet mới đưa ra cảnh báo công khai về lỗ hổng của tiện ích mở rộng trình duyệt. Cách xử lý này đã gây ra nhiều chỉ trích, làm tăng thêm lo lắng của người dùng.
03 Phân tích kỹ thuật: Lỗ hổng chết người của tiện ích mở rộng trình duyệt
Các chuyên gia an ninh chỉ ra rằng, vụ tấn công này có thể thực hiện qua hai cách: một là chèn mã độc có chủ ý trong quá trình cập nhật; hai là vô tình đưa vào lỗ hổng có thể khai thác được.
Tính năng quyền hạn cao của tiện ích mở rộng Chrome khiến nó trở thành mục tiêu lý tưởng của kẻ tấn công. Những tiện ích này có thể đọc và chỉnh sửa toàn bộ nội dung các trang web người dùng truy cập, chặn các yêu cầu mạng, tiêm mã tùy ý, thậm chí truy cập bộ nhớ cục bộ.
CISO của SlowFog còn nhấn mạnh rằng, sự kiện bảo mật này có thể bắt nguồn từ việc thiết bị của nhà phát triển hoặc kho mã bị tấn công, hiện vẫn còn người dùng bị mất tiền liên tục. Phân tích này nhấn mạnh mối đe dọa của tấn công chuỗi cung ứng — kẻ tấn công không cần xâm nhập trực tiếp vào ứng dụng ví, chỉ cần kiểm soát một phần phụ thuộc phía trên.
Các nghiên cứu an ninh cho thấy, ví trình duyệt tồn tại ba rủi ro hệ thống chính: cơ chế cập nhật tự động khiến người dùng không thể xem xét thay đổi mã trước khi nhận bản mới; lạm dụng quyền hạn có thể dẫn đến việc mở rộng hợp pháp thêm mã độc trong quá trình cập nhật; lỗ hổng chuỗi phụ thuộc khiến tất cả các ứng dụng phía dưới đều có thể bị ảnh hưởng mà người dùng không hay biết.
04 Theo dõi dòng tiền: Đường đi rửa tiền của hacker
Dựa trên dữ liệu theo dõi của PeckShield, trong vụ khai thác lỗ hổng Trust Wallet, hacker đã trộm hơn 600 万 USD tài sản mã hóa từ các nạn nhân. Các khoản tiền này nhanh chóng tự động chuyển vào một nhóm ví do hacker kiểm soát.
Việc theo dõi dòng tiền đã hé lộ một quá trình rửa tiền có hệ thống:
Chi tiết, khoảng 330 万 USD đã chuyển đến ChangeNOW, khoảng 34 万 USD đến FixedFloat, khoảng 44.7 万 USD đến KuCoin. Mô hình chuyển nhanh và phân tán này thường xuất hiện khi phần mở rộng hoặc phần frontend bị tổn hại, nhằm tăng độ khó truy tìm.
Nhà phân tích blockchain phát hiện một ví EVM mới tạo nhận các giao dịch từ vài phần ETH đến 7 ETH, trong đó một địa chỉ vẫn giữ hơn 255 ETH, trị giá khoảng 75 万 USD.
Trên mạng Bitcoin, chỉ một địa chỉ đã nhận hơn 12 BTC qua 66 giao dịch, trị giá hơn 1 triệu USD, các ví khác tổng cộng nhận khoảng 1.5 BTC.
05 Ảnh hưởng thị trường và hiệu suất token
Sự kiện Trust Wallet không chỉ ảnh hưởng trực tiếp đến các nạn nhân mà còn gây chấn động toàn bộ thị trường tiền mã hóa. Là token tiện ích gốc của hệ sinh thái ví này, token TWT có thể chịu áp lực giảm giá.
Công ty nghiên cứu an ninh SlowFog còn nhấn mạnh rằng, dường như hacker rất quen thuộc với mã nguồn của Trust Wallet, đã chèn PostHog JS để thu thập các thông tin về ví người dùng. Điều đáng lo ngại là, phiên bản vá của Trust Wallet vẫn chưa loại bỏ script PostHog JS.
Dữ liệu lịch sử cho thấy, các sự cố bảo mật tương tự thường khiến giá token liên quan giảm 10% đến 20% trong vòng 24 giờ, khối lượng giao dịch tăng đột biến kèm theo tâm lý hoảng loạn bán tháo. Sự kiện này còn có thể thúc đẩy nhà đầu tư chuyển sang các tài sản an toàn hơn như Bitcoin và Ethereum.
Tính đến ngày 26 tháng 12, dữ liệu từ nền tảng Gate cho thấy, toàn thị trường đang duy trì thái độ thận trọng, sự chú ý đến vấn đề an toàn ví đã tăng rõ rệt. Mặc dù CZ đã cam kết hoàn trả toàn bộ, nhưng sự phục hồi niềm tin vẫn còn cần thời gian.
06 Hướng dẫn người dùng và khuyến nghị an toàn
Đối với người dùng Trust Wallet có thể đã bị ảnh hưởng, cần thực hiện ngay các biện pháp sau:
Bước 1: Kiểm tra và cách ly. Xem lại các giao dịch trong 48 giờ gần nhất, đặc biệt chú ý các chuyển token không rõ nguồn gốc, tương tác hợp đồng hoặc ký xác nhận không hợp lệ. Nếu phát hiện giao dịch đáng ngờ, ngay lập tức tắt chức năng mở rộng Chrome của Trust Wallet, vào chrome://extensions để vô hiệu hoặc gỡ bỏ tiện ích.
Bước 2: Cứu vãn tài sản. Sử dụng Revoke.cash hoặc chức năng Phê duyệt Token của Etherscan để thu hồi tất cả các quyền DeFi. Tạo ví mới, dùng cụm từ khởi tạo mới, không dùng ví cũ để khôi phục. Chuyển toàn bộ tài sản còn lại sang ví mới, đảm bảo không dùng thiết bị đã bị theo dõi.
Bước 3: Báo cáo và đòi quyền lợi. ZachXBT khuyên người bị hại nên chủ động liên hệ cơ quan pháp luật và cung cấp đầy đủ hồ sơ giao dịch. Dù tỉ lệ phá án các vụ trộm tiền mã hóa không cao, việc có hồ sơ chính thức sẽ rất quan trọng cho các vụ kiện tập thể hoặc yêu cầu bồi thường bảo hiểm trong tương lai.
Đối với người dùng chưa bị ảnh hưởng, các biện pháp phòng ngừa bao gồm: tạm dừng sử dụng tiện ích mở rộng Chrome, chuyển sang dùng ứng dụng di động hoặc ví phần cứng; kiểm tra và thu hồi các quyền hợp đồng DeFi không cần thiết; tránh ký các giao dịch hoặc ủy quyền mới cho đến khi rõ ràng; sao lưu cụm từ khởi tạo và lưu trữ ở môi trường offline; xem xét chuyển tài sản lớn sang ví phần cứng.
Trust Wallet cũng đã cập nhật quy trình bồi thường qua trung tâm hỗ trợ, người bị hại có thể đăng ký yêu cầu bồi thường qua kênh này. ZachXBT cho biết, nếu xác nhận trách nhiệm thuộc về Trust Wallet, nền tảng này có thể sẽ phải bồi thường cho người dùng bị ảnh hưởng.
Tương lai dự kiến
Khi hơn 4 triệu USD bị trộm đã chảy vào các sàn như ChangeNOW, FixedFloat và KuCoin, dư âm của vụ trộm Giáng sinh này vẫn còn lan tỏa trong thế giới tiền mã hóa. Các công ty an ninh như PeckShield theo dõi cho thấy, vẫn còn khoảng 280 万 USD còn lại trong ví của hacker.
Nhà an ninh ZachXBT, người phát hiện ra rằng bản vá vẫn còn chứa script đáng ngờ, đã liên tục cảnh báo về an toàn trên mạng xã hội. An toàn trong thế giới tài sản số này không phải là một lần, mà là một cuộc đua marathon không có hồi kết.
Sự im lặng và cách xử lý của Trust Wallet sẽ trở thành tấm gương cho ngành trong cách xử lý khủng hoảng an ninh. Và đối với từng người sở hữu tài sản mã hóa, vụ việc này chắc chắn là một lời nhắc nhở nặng nề và rõ ràng — an toàn thực sự luôn nằm trong chính tay bạn.