Tổng quan về các sự cố bảo mật ví plugin: Thường xuyên bị làm giả phần mềm và tấn công lừa đảo, lỗ hổng chính thức từ phía nhà phát triển khá ít.

BlockBeats đưa tin, vào sáng ngày 26 tháng 12, Trust Wallet chính thức phát hành cảnh báo an ninh, xác nhận phiên bản 2.68 của tiện ích mở rộng trình duyệt Trust Wallet tồn tại lỗ hổng bảo mật. Theo theo dõi của nhà điều tra on-chain ZachXBT, đã có hàng trăm người dùng Trust Wallet bị đánh cắp tài sản, tổng thiệt hại ít nhất đã lên tới 6 triệu đô la Mỹ. Các sự cố an ninh mà nhiều tiện ích mở rộng trình duyệt phổ biến từng gặp phải như sau:

Tiện ích mở rộng trình duyệt Trust Wallet cũng từng bị phát hiện lỗ hổng WebAssembly vào tháng 11 năm 2022, chỉ ảnh hưởng đến các địa chỉ ví mới được tạo trong khoảng thời gian từ ngày 14 đến 23 tháng 11 năm 2022. Điều này dẫn đến việc bị đánh cắp khoảng 170 nghìn đô la Mỹ, Trust Wallet đã phát hiện vấn đề thông qua chương trình thưởng lỗi, khắc phục lỗ hổng và hoàn trả đầy đủ cho người dùng bị ảnh hưởng.

MetaMask từng xuất hiện lỗ hổng "Demonic" vào năm 2022, ảnh hưởng đến các phiên bản cũ trước 10.11.3, có khả năng khiến private key bị lộ trong bộ nhớ trình duyệt, nhưng không ghi nhận thiệt hại tài sản quy mô lớn. Sau đó, trong giai đoạn 2023 đến 2025, tiện ích mở rộng ví chính thức MetaMask hoạt động an toàn, nhưng thường xuyên bị ảnh hưởng bởi các tiện ích mở rộng giả mạo. Báo cáo của Chainalysis cho thấy năm 2025 số vụ người dùng MetaMask bị đánh cắp tăng đột biến, nguyên nhân chủ yếu là do phần mềm độc hại giả mạo và lừa đảo phishing, chứ không phải do bản thân bảo mật của ví tiện ích mở rộng. MetaMask đã phát hành báo cáo an ninh hàng tháng về vấn đề này, nhưng với tư cách là ví tiện ích mở rộng Ethereum phổ biến, vẫn là mục tiêu hàng đầu của các đối tượng giả mạo.

Phantom (ví tiện ích mở rộng chính của Solana) cũng từng bị ảnh hưởng bởi lỗ hổng "Demonic" vào năm 2022, nhưng cũng không ghi nhận thiệt hại tài sản quy mô lớn. Đầu năm 2025 xuất hiện tranh cãi an ninh liên quan đến tiện ích mở rộng ví Phantom, một người dùng bị mất 500 nghìn đô la Mỹ, nguyên nhân được cho là private key không được Phantom mã hóa lưu trữ trong bộ nhớ, dẫn đến bị hacker tấn công, và đã khởi kiện tập thể tại tòa án quận phía Nam New York. Phantom chính thức tuyên bố mạnh mẽ phủ nhận mọi cáo buộc, cho rằng vụ kiện "vô căn cứ", nhấn mạnh Phantom là ví không lưu ký, trách nhiệm an toàn tài sản thuộc về người dùng.

Rabby Wallet (tiện ích mở rộng thân thiện với DeFi) vào năm 2022 từng bị hacker đánh cắp khoảng 200 nghìn đô la Mỹ tài sản mã hóa do lỗ hổng Rabby Swap, lỗ hổng này không xuất phát từ bản thân tiện ích mở rộng mà là từ chức năng Swap tích hợp bên trong.

Cách bị đánh cắp phổ biến nhất đối với ví tiện ích mở rộng trình duyệt là tải xuống ứng dụng giả mạo, năm 2025 trên cửa hàng Firefox đã nhiều lần bùng phát các sự cố như vậy, ảnh hưởng đến nhiều ví tiện ích mở rộng mã hóa phổ biến như MetaMask, Phantom, Trust Wallet. Ngược lại, các lỗ hổng trực tiếp từ phía chính thức của tiện ích mở rộng lại khá hiếm, khuyến nghị người dùng chỉ tải từ Chrome Web Store chính thức để đảm bảo an toàn tài sản.