Tổng quan về các sự cố bảo mật ví plugin: bị ảnh hưởng bởi phần mềm giả mạo và các cuộc tấn công lừa đảo, với tương đối ít lỗ hổng ảnh hưởng trực tiếp đến các nền tảng chính thức.

Ngày 26 tháng 12, BlockBeats đưa tin rằng Trust Wallet, ví tiền điện tử không lưu ký lớn nhất theo số lượng người dùng, đã phát cảnh báo bảo mật sáng nay, xác nhận lỗ hổng bảo mật trong phiên bản plugin trình duyệt 2.68. Chuyên gia phân tích chuỗi khối ZachXBT tiết lộ rằng hàng trăm người dùng Trust Wallet đã bị đánh cắp tiền, với thiệt hại ước tính ít nhất là 6 triệu đô la. Trust Wallet đã được tải xuống hơn 200 triệu lần, với khoảng 17 triệu người dùng hoạt động hàng tháng, chiếm khoảng 35% thị phần. Sự cố bảo mật này có tác động rộng lớn. Sau đây là tổng quan về các sự cố bảo mật trước đây liên quan đến một số plugin trình duyệt phổ biến:

Vào tháng 11 năm 2022, người ta cũng phát hiện ra lỗ hổng bảo mật WebAssembly trong trình duyệt Trust Wallet, chỉ ảnh hưởng đến các địa chỉ ví mới được tạo từ ngày 14 đến 23 tháng 11 năm 2022. Điều này dẫn đến việc mất khoảng 170.000 đô la. Trust Wallet đã phát hiện ra vấn đề thông qua chương trình tìm lỗi bảo mật, khắc phục lỗ hổng và bồi thường đầy đủ cho người dùng bị ảnh hưởng.

MetaMask đã gặp phải lỗ hổng "Demonic" vào năm 2022, ảnh hưởng đến các phiên bản cũ hơn trước 10.11.3. Khóa riêng tư có nguy cơ bị lộ trong bộ nhớ trình duyệt, nhưng không có thiệt hại tài chính quy mô lớn nào được ghi nhận. Từ năm 2023 đến năm 2025, plugin ví MetaMask chính thức hoạt động an toàn, nhưng thường xuyên bị ảnh hưởng bởi các tiện ích mở rộng giả mạo. Một báo cáo của Chainalysis cho thấy sự gia tăng các vụ trộm cắp của người dùng MetaMask vào năm 2025, chủ yếu là do phần mềm độc hại giả mạo và các cuộc tấn công lừa đảo, chứ không phải do tính bảo mật vốn có của ví plugin. MetaMask công bố báo cáo bảo mật hàng tháng, nhưng là một ví plugin Ethereum phổ biến, nó vẫn là mục tiêu chính của những kẻ làm giả.

Phantom (plugin ví chính của Solana) cũng bị ảnh hưởng bởi lỗ hổng "Demonic" vào năm 2022, nhưng không có thiệt hại tài chính quy mô lớn nào được biết đến. Đầu năm 2025, một vụ tranh cãi về bảo mật liên quan đến plugin ví Phantom đã nảy sinh, với một người dùng mất 500.000 đô la. Điều này được cho là do một cuộc tấn công của tin tặc, trong đó khóa riêng tư không được Phantom mã hóa và được lưu trữ trong bộ nhớ, dẫn đến một vụ kiện tập thể được đệ trình tại Tòa án Quận phía Nam New York. Tuyên bố chính thức của Phantom đã mạnh mẽ bác bỏ mọi cáo buộc, gọi vụ kiện là "vô căn cứ" và nhấn mạnh rằng Phantom là một ví không lưu ký, và trách nhiệm về bảo mật tiền thuộc về người dùng.

Vào năm 2022, Rabby Wallet (một plugin thân thiện với DeFi) đã bị tấn công bởi lỗ hổng Rabby Swap, dẫn đến việc đánh cắp khoảng 200.000 đô la tài sản tiền điện tử. Lỗ hổng này không bắt nguồn từ chính plugin mà từ chức năng Swap được tích hợp sẵn của nó.

Cách phổ biến nhất mà ví điện tử trong tiện ích mở rộng trình duyệt bị đánh cắp là thông qua việc tải xuống các ứng dụng giả mạo. Năm 2025, Firefox Store đã ghi nhận nhiều vụ việc thuộc loại này, ảnh hưởng đến một số ví điện tử phổ biến như MetaMask, Phantom và Trust Wallet. Ngược lại, các lỗ hổng bảo mật trực tiếp trong tiện ích mở rộng lại tương đối hiếm. Người dùng nên chỉ tải xuống từ Chrome Web Store chính thức để đảm bảo an toàn cho tiền của mình.