Danh sách các sự cố bảo mật ví plugin: thường xuyên gặp phải phần mềm giả mạo và các cuộc tấn công lừa đảo, ít lỗ hổng trực tiếp từ phía chính thức

12 tháng 12 ngày 26, sáng nay, nhà cung cấp ví tiền điện tử không lưu trữ lớn nhất của người dùng, Trust Wallet chính thức phát hành cảnh báo an toàn, xác nhận rằng phiên bản 2.68 của tiện ích trình duyệt có lỗ hổng bảo mật, nhà điều tra chuỗi ZachXBT tiết lộ đã có hàng trăm người dùng Trust Wallet bị mất tiền, thiệt hại ít nhất đạt 6 triệu USD. Trust Wallet đã tải xuống hơn 200 triệu lần, khoảng 17 triệu người dùng hoạt động hàng tháng, chiếm khoảng 35% thị phần, sự kiện bảo mật lần này ảnh hưởng rộng rãi. Nhìn lại các sự cố bảo mật từng xảy ra với nhiều tiện ích trình duyệt chính sau đây: Tiện ích trình duyệt Trust Wallet cũng từng bị phát hiện lỗ hổng WebAssembly vào tháng 11 năm 2022, chỉ ảnh hưởng đến các địa chỉ ví mới được tạo từ ngày 14 đến 23 tháng 11 năm 2022. Điều này dẫn đến mất khoảng 170.000 USD tiền vốn, Trust Wallet đã phát hiện vấn đề qua chương trình thưởng lỗ hổng, sửa chữa lỗ hổng và bồi thường toàn bộ cho người dùng bị ảnh hưởng. MetaMask từng gặp lỗ hổng 「Demonic」 vào năm 2022, ảnh hưởng đến các phiên bản cũ trước 10.11.3, có khả năng khóa riêng bị lộ trong bộ nhớ trình duyệt, nhưng không có thiệt hại lớn về tài chính được biết đến. Sau đó, từ 2023 đến 2025, ví chính thức của MetaMask hoạt động an toàn, nhưng thường xuyên bị ảnh hưởng bởi các tiện ích mở rộng giả mạo, báo cáo của Chainalysis cho thấy các vụ mất cắp bất thường của người dùng MetaMask tăng đột biến vào năm 2025, nguyên nhân chính là phần mềm độc hại giả mạo và lừa đảo qua mạng, chứ không phải do bảo mật của ví tiện ích. MetaMask đã phát hành báo cáo an toàn hàng tháng về vấn đề này, nhưng với tư cách là ví tiện ích Ethereum phổ biến, vẫn là mục tiêu hàng đầu của các phần mềm giả mạo. Phantom (tiện ích ví chính của Solana) cũng từng bị ảnh hưởng bởi lỗ hổng 「Demonic」 vào năm 2022, nhưng cũng không có thiệt hại lớn về tài chính được biết đến. Đầu năm 2025, xuất hiện tranh cãi về an ninh liên quan đến ví Phantom, một người dùng mất 500.000 USD, nguyên nhân do khóa riêng không được mã hóa trong bộ nhớ của Phantom, dẫn đến tấn công của hacker, và đã kiện tập thể tại Tòa án quận phía Nam New York. Chính thức Phantom mạnh mẽ phủ nhận tất cả các cáo buộc, gọi các vụ kiện là “vô căn cứ”, nhấn mạnh rằng Phantom là ví không lưu trữ, trách nhiệm bảo vệ tài chính thuộc về người dùng. Ví Rabby Wallet (tiện ích thân thiện với DeFi) năm 2022 đã bị hacker đánh cắp khoảng 200.000 USD tài sản điện tử do lỗ hổng Rabby Swap, không phải do chính tiện ích mà do chức năng Swap tích hợp. Phương thức phổ biến nhất để trộm cắp ví trình duyệt là tải ứng dụng giả mạo, năm 2025, nhiều vụ việc như vậy đã bùng phát tại cửa hàng Firefox, ảnh hưởng đến nhiều ví tiền điện tử chính như MetaMask, Phantom, Trust Wallet. Ngược lại, các lỗ hổng trực tiếp từ chính nhà phát triển của tiện ích ít hơn, khuyên người dùng chỉ tải từ Chrome Web Store chính thức để đảm bảo an toàn tài chính.