Các nhà phát triển Bitcoin Core vừa tiết lộ một lỗi bảo mật có thể để lộ chính thông tin mà hệ thống này cố gắng che giấu: địa chỉ IP của người dùng. Bản vá sẽ được đưa ra trong phiên bản 31.1 sắp tới.
Lỗi này xuất hiện ở tính năng phát giao dịch riêng tư (private broadcast), một chức năng tùy chọn được bổ sung trong phiên bản 31.0 phát hành vào tháng 04/2024. Các nhà phát triển đã công bố cảnh báo về vấn đề này vào ngày 06/06/2024.
Lỗi bảo mật làm ảnh hưởng quyền riêng tư như thế nào
Tính năng phát giao dịch riêng tư hoạt động bằng cách gửi giao dịch qua mạng Tor, một hệ thống giúp ẩn danh người dùng, nổi tiếng nhờ cho phép truy cập dark web. Nhờ vậy, người nhận sẽ không thể biết được giao dịch đến từ đâu.
Tuy nhiên, trong thông báo chính thức, các nhà phát triển thừa nhận khả năng che giấu này có thể bị phá vỡ.
Sự cố xảy ra khi phần mềm cố gắng kết nối mã hóa với một máy tính khác trong mạng lưới. Nếu kết nối này không thành công, phần mềm sẽ lặng lẽ thử lại bằng kết nối thông thường, bỏ qua Tor hoàn toàn. Khi đó, người nhận sẽ thấy địa chỉ IP thật của người gửi, đồng nghĩa với vị trí gần đúng của họ cũng bị lộ.
Thậm chí, kẻ tấn công không cần may mắn mới phát hiện ra. Một node độc hại có thể cố tình từ chối bắt tay mã hóa để buộc phần mềm phải chuyển sang kết nối lộ IP thật như trên.
Rủi ro của lỗi này đặc biệt nghiêm trọng bởi blockchain của Bitcoin là công khai. Nếu giao dịch bị gắn với một địa chỉ IP, việc truy ra danh tính và vị trí của người dùng là điều hoàn toàn có thể xảy ra.
Ai bị ảnh hưởng và nên làm gì
Lỗi chỉ ảnh hưởng tới những ai đang sử dụng phiên bản 31.0 và đã tự bật tính năng phát giao dịch riêng tư này. Những giao dịch ví thông thường của nhà đầu tư nhỏ lẻ không bị tác động. Nhà nghiên cứu Eugene Siegel là người đầu tiên phát hiện ra lỗi này và được ghi nhận công lao.
Trong khi đó, thị trường hầu như không có phản ứng nào đáng kể. Bitcoin (BTC) hiện vẫn giao dịch quanh mức 63,700 USD, gần như không đổi trong ngày qua. Hiện tại, các nhà phát triển cần tập trung lấy lại niềm tin cho cộng đồng về nỗ lực bảo vệ quyền riêng tư cho Bitcoin.
Cho đến khi phiên bản 31.1 được phát hành, những người chịu ảnh hưởng nên tắt tính năng phát giao dịch riêng tư hoặc đảm bảo toàn bộ lưu lượng truy cập đều đi qua Tor. Sự việc này diễn ra sau khi cộng đồng vừa tranh luận về chính sách chuyển tiếp giao dịch trên Bitcoin Core và tiếp tục làm dấy lên câu hỏi ai mới là người đứng sau quản lý Bitcoin Core.
