Trust Wallet vào thứ Ba đã tiết lộ rằng phiên bản thứ hai của cuộc tấn công chuỗi cung ứng Shai-Hulud (còn gọi là Sha1-Hulud) vào tháng 11 năm 2025 có thể là nguyên nhân gây ra vụ hack tiện ích mở rộng Google Chrome của họ, dẫn đến việc đánh cắp khoảng 8,5 triệu USD tài sản.
"Các bí mật GitHub của nhà phát triển của chúng tôi đã bị lộ trong cuộc tấn công, điều này cho phép kẻ tấn công truy cập vào mã nguồn tiện ích mở rộng trình duyệt của chúng tôi và khóa API của Chrome Web Store (CWS)," công ty cho biết trong một bài post-mortem được công bố vào thứ Ba.
"Kẻ tấn công đã có được toàn quyền truy cập API CWS thông qua khóa bị rò rỉ, cho phép các bản dựng được tải lên trực tiếp mà không cần quy trình phát hành tiêu chuẩn của Trust Wallet, vốn yêu cầu phê duyệt nội bộ/đánh giá thủ công."
Sau đó, kẻ tấn công được cho là đã đăng ký tên miền "metrics-trustwallet[.]com" và đẩy một phiên bản tiện ích mở rộng đã bị Trojan hóa với một backdoor có khả năng thu thập các cụm từ ghi nhớ ví của người dùng đến tên miền phụ "api.metrics-trustwallet[.]com."
Việc tiết lộ này diễn ra vài ngày sau khi Trust Wallet kêu gọi khoảng một triệu người dùng tiện ích mở rộng Chrome của mình cập nhật lên phiên bản 2.69 sau khi một bản cập nhật độc hại (phiên bản 2.68) đã bị các tác nhân đe dọa không xác định đẩy lên chợ tiện ích mở rộng của trình duyệt vào ngày 24 tháng 12 năm 2025.
Sự cố bảo mật cuối cùng đã dẫn đến việc 8,5 triệu USD tài sản tiền điện tử bị rút từ 2.520 địa chỉ ví đến không dưới 17 địa chỉ ví do kẻ tấn công kiểm soát. Hoạt động rút ví đầu tiên đã được báo cáo công khai một ngày sau bản cập nhật độc hại.
Trust Wallet kể từ đó đã bắt đầu quá trình yêu cầu bồi thường cho các nạn nhân bị ảnh hưởng. Công ty lưu ý rằng việc xem xét các yêu cầu đã gửi đang diễn ra và được xử lý theo từng trường hợp cụ thể. Công ty cũng nhấn mạnh rằng thời gian xử lý có thể khác nhau tùy từng trường hợp do cần phải phân biệt giữa nạn nhân và những kẻ xấu, và bảo vệ thêm chống gian lận.
Để ngăn chặn những vi phạm như vậy tái diễn, Trust Wallet cho biết họ đã triển khai các khả năng giám sát và kiểm soát bổ sung liên quan đến quy trình phát hành của mình.
"Sha1-Hulud là một cuộc tấn công chuỗi cung ứng phần mềm trên toàn ngành, đã ảnh hưởng đến các công ty thuộc nhiều lĩnh vực, bao gồm nhưng không giới hạn ở crypto," công ty cho biết. "Nó liên quan đến việc mã độc được đưa vào và phân phối thông qua các công cụ phát triển thường được sử dụng. Điều này cho phép kẻ tấn công truy cập thông qua các phần mềm phụ thuộc đáng tin cậy thay vì trực tiếp nhắm mục tiêu vào các tổ chức cá nhân."
Việc tiết lộ của Trust Wallet trùng hợp với sự xuất hiện của Shai-Hulud 3.0 với khả năng che giấu nâng cao và cải thiện độ tin cậy, đồng thời vẫn tập trung vào việc đánh cắp bí mật từ các máy tính của nhà phát triển.
"Sự khác biệt chính nằm ở string obfuscation, error handling và Windows compatibility, tất cả đều nhằm mục đích tăng tuổi thọ chiến dịch thay vì giới thiệu các kỹ thuật exploitation mới lạ," các nhà nghiên cứu Guy Gilad và Moshe Hassan từ Upwind cho biết.
