Tưởng chừng như từ khóa hạt giống (seed-phrase) là không thể dễ dàng suy đoán được, nhưng Unciphered – một công ty cung cấp giải pháp phục hồi ví Crypto – đã công bố lỗ hỗng Randstorm và chỉ ra khả năng các seed-phrase của những ví cũ đang đứng trước nguy cơ bị hack bất cứ lúc nào.
Hơn 1 triệu ví Bitcoin được tạo từ năm 2010 có thể chịu nguy cơ mất sạch tiền
Trong một bài viết giải trình toàn bộ những nghiên cứu và tìm hiểu của @uncipheredLLC về Randstorm, họ cho biết đối tượng bị ảnh hưởng bởi lỗ hổng Randstorm là những ví Bitcoin đời cũ được tạo từ năm 2010 – 2016, có sử dụng thuật toán ngẫu nhiên để tạo từ khóa hạt giống nhưng yếu hơn hiện nay.
Today we release our work on Randstorm: a vulnerability affecting a significant number of browser generated cryptocurrency wallets https://t.co/CebdytNaC6
Reporting @washingtonpost https://t.co/OzYDq2tH4W
Technical write-up: https://t.co/HPqjtaX1CA #Bitcoin #blockchain pic.twitter.com/aN7CZh9sv4
— Unciphered LLC (@uncipheredLLC) November 14, 2023
Unciphered đã xác nhận rằng lỗ hổng này có thể được khai thác, và cũng cho biết họ đã liên hệ với các nhà cung cấp ví để cảnh báo vấn đề này, đồng thời khuyến nghị những nhà đầu tư lâu năm nên chuyển tiền sang một ví mới. Nhất là những ai đã tạo ví tự lưu ký bằng trình duyệt web trước năm 2016, nên nhanh chóng cân nhắc chuyển tiền của mình sang ví được tạo bởi phần mềm đáng tin cậy hơn sau này.
Thuật toán ngẫu nhiên không đủ mạnh và hacker có thể lần ra được seed-phrase
Unciphered chỉ ra vấn đề mấu chốt nằm ở chỗ, từ trước 2016, đa phần các trình duyệt đã sử dụng BitcoinJS – thư viện JavaScript được sử dụng rộng rãi cho ví Bitcoin – để tạo từ khóa hạt giống cho ví tiền mã hóa. Nhưng BitcoinJS lại được xây dựng với thuật toán tạo tính ngẫu nhiên yếu mà đến nay hacker hoàn toàn có thể lần ra được.
Theo nhận định của Trail of Bits, BitcoinJS được tái sử dụng bởi hàng chục công ty Blockchain khác, nên rất khó để biết được ai thực sự ảnh hưởng. Theo BeInCrypto, nếu nạn nhân là những ví càng lâu năm (ví dụ từ 2010) và số dư lớn, có thể gây tâm lý hoang mang cho nhà đầu tư.
Bên cạnh đó, Unciphered cũng cảnh báo rằng những ví Dogecoin cũng bị ảnh hưởng bởi lỗ hổng này, và có thể là cả ví Litecoin và Zcash. Lý do là vì từ 2013, Dogechain.info là một trình khám phá Dogecoin phổ biến cung cấp các dịch vụ tạo ví có sử BitcoinJS.
This issue is easily exploitable. @trailofbits rapidly prototyped an attack with unoptimized Python and seed recovery took only days on a single Macbook.
If you have a wallet you suspect may be affected: *migrate your funds to a new wallet immediately.* pic.twitter.com/PBFDpksrYP— Trail of Bits (@trailofbits) November 16, 2023
Để chứng minh lỗ hổng này nguy hiểm ra sao, @trailofbits đã nhanh chóng tạo một nguyên mẫu cho một cuộc tấn công bằng Python, và kết quả là họ đã khôi phục được từ khóa hạt giống mà chỉ mất có vài ngày trên một chiếc Macbook.
Chưa thể rõ liệu hệ quả của Randstorm để lại sẽ lan rộng và nguy hại đến đâu, nhưng nếu bạn là một Hodler lâu năm trước 2016, hãy xem xét đổi sang một ví khác.
THEO DÕI CHÚNG TÔI TRÊN FACEBOOK | TELEGRAM | TWITTER
Miễn trừ trách nhiệm: Tất cả nội dung trên website này đều vì mục đích cung cấp thông tin và không phải là lời khuyên đầu tư. Bạn đọc nên tự tiến hành nghiên cứu trước khi đưa ra quyết định đầu tư. Chúng tôi không chịu trách nhiệm, trực tiếp hoặc gián tiếp, đối với bất kỳ thiệt hại hoặc mất mát nào phát sinh liên quan đến việc sử dụng hoặc dựa vào bất kỳ nội dung nào bạn đọc trên website này.
