Kraken Security Labs đã phát hiện ra một lỗ hổng bảo mật quan trọng trong ví lạnh (ví phần cứng) tiền điện tử Trezor – thứ mà cho phép hacker đánh cắp cụm từ hạt giống (seed phrase) trong vòng 15 phút.
Trong một bài đăng trên blog vào thứ Sáu, Kraken tiết lộ rằng các tin tặc có thể khai thác lỗ hổng điện áp và trích xuất các seed phrase được mã hóa từ ví Trezor One và Trezor Model T chỉ với 15 phút truy cập vật lý vào thiết bị.
Trezor đã nhận biết được lỗ hổng này kể từ khi thiết kế các sản phẩm, bài viết cho biết. Trước khi công khai lỗ hổng bảo mật, vào tháng 10 năm 2019, Kraken đã tiết lộ thông tin chi tiết về vụ tấn công tới Trezor. Ledger Donjon – team bảo mật của Ledger, cũng đã tiến hành nghiên cứu tương tự vào năm ngoái.
Theo Nick Percoco – giám đốc bảo mật của Kraken, lỗ hổng này là lỗi thuộc về bộ vi điều khiển được sử dụng trong ví của Trezor, đó là lý do tại sao lỗ hổng vẫn tồn tại đến nay bất chấp Trezor đã sớm phát hiện ra nó.
“Đó là một lỗ hổng hiện diện trong phần cứng, không phải là thứ mà họ có thể chỉ cập nhật chính thức và sửa nó cho tất cả khách hàng của họ,” ông với The Block. “Để giải quyết vấn đề này, về cơ bản họ cần phải đưa ra một thiết bị mới.”
Theo bài đăng của Kraken, Trezor đã trích dẫn trong một tweet phản hồi chính thức về nghiên cứu của Ledger vào ngày 3 tháng 3 năm 2019. Theo phản hồi, cuộc tấn công không thể xảy ra từ xa và sẽ không hoạt động nếu người dùng bật cụm từ mật khẩu (Passphrase) BIP 39.
“Theo nghiên cứu của chúng tôi, truy cập vật lý là mối đe dọa đối với 6-9% số người dùng,” Trezor viết trong một tweet sau đó. “Nếu truy cập vật lý là một phần của mô hình mối đe dọa của ai đó, chúng tôi khuyên bạn nên sử dụng tính năng Passphrase. Nhưng hơn nữa, truy cập vật lý không phải là một trường hợp phổ biến.”
Percoco đã xác nhận tuyên bố của Trezor. “Chúng tôi sẽ không thể thực hiện cuộc tấn công này nếu Passphrase BIP 39 được kích hoạt, nhưng thật không may, Passphrase chỉ là một tùy chọn bổ sung mà không phải người dùng nào cũng bật,” ông nói. “Vì vậy, các khuyến nghị thực sự ở đây là, một: đảm bảo rằng bạn đang kiểm soát quyền truy cập vật lý vào ví Trezor của bạn, và, hai: thêm passphrase bổ sung đó vào ví.”
Kraken trước đây đã từng thực hiện một cuộc tấn công tương tự vào ví KeepKey. Trước hai bộ nghiên cứu, Kraken kết luận trong một bài đăng trên blog rằng “những thiết bị này không được thiết kế để lưu trữ bí mật và … các nhà cung cấp như Trezor và KeepKey không nên chỉ dựa vào chúng để bảo mật tiền điện tử của bạn.”
Percoco cho biết Kraken quyết định đưa ra thông báo này vì muốn người dùng nhận thức được lỗ hổng nguy hiểm này.
“Chúng tôi làm vậy vì muốn khách hàng của chúng tôi và người dùng trong cộng đồng Bitcoin nhận thức được rằng họ cần thực hiện các biện pháp phòng ngừa bổ sung khi sử dụng ví cứng để đảm bảo seed phrase của họ được an toàn,” ông nói.
Có thể bạn quan tâm:
- Người dùng ví Ledger bị hack $16.000 do phần mềm độc hại trong tiện ích mở..
- MyEtherWallet cải tiến tiện ích mở rộng Chrome, cho phép người dùng tạo địa chỉ..
Tham gia kênh của chúng tôi để cập nhật tin tức và kiến thức hữu ích nhất tại:
- Telegram: https://t.me/toiyeubitcoin
- Facebook: https://www.facebook.com/toiyeubitcoindotcom/
Theo The Block
Biên dịch bởi ToiYeuBitcoin
The post Ví cứng tiền điện tử Trezor có thể bị hack chỉ trong vòng 15 phút appeared first on Tôi Yêu Bitcoin.
Comments
Post a Comment