Tưởng chừng như từ khóa hạt giống (seed-phrase) là không thể dễ dàng suy đoán được, nhưng Unciphered – một công ty cung cấp giải pháp phục hồi ví Crypto – đã công bố lỗ hỗng Randstorm và chỉ ra khả năng các seed-phrase của những ví cũ đang đứng trước nguy cơ bị hack bất cứ lúc nào.
Sau đây là những tổng hợp và ghi nhận từ BeInCrypto về lỗ hỗng quan trọng này.
Hơn 1 triệu ví Bitcoin được tạo từ năm 2010 có thể chịu nguy cơ mất sạch tiền
Trong một bài viết giải trình toàn bộ những nghiên cứu và tìm hiểu của @uncipheredLLC về Randstorm, họ cho biết đối tượng bị ảnh hưởng bởi lỗ hổng Randstorm là những ví Bitcoin đời cũ được tạo từ năm 2010 – 2016, có sử dụng thuật toán ngẫu nhiên để tạo từ khóa hạt giống nhưng yếu hơn hiện nay.
Unciphered đã xác nhận rằng lỗ hổng này có thể được khai thác, và cũng cho biết họ đã liên hệ với các nhà cung cấp ví để cảnh báo vấn đề này, đồng thời khuyến nghị những nhà đầu tư lâu năm nên chuyển tiền sang một ví mới. Nhất là những ai đã tạo ví tự lưu ký bằng trình duyệt web trước năm 2016, nên nhanh chóng cân nhắc chuyển tiền của mình sang ví được tạo bởi phần mềm đáng tin cậy hơn sau này.
Thuật toán ngẫu nhiên không đủ mạnh và hacker có thể lần ra được seed-phrase
Unciphered chỉ ra vấn đề mấu chốt nằm ở chỗ, từ trước 2016, đa phần các trình duyệt đã sử dụng BitcoinJS – thư viện JavaScript được sử dụng rộng rãi cho ví Bitcoin – để tạo từ khóa hạt giống cho ví tiền mã hóa. Nhưng BitcoinJS lại được xây dựng với thuật toán tạo tính ngẫu nhiên yếu mà đến nay hacker hoàn toàn có thể lần ra được.
Theo nhận định của Trail of Bits, BitcoinJS được tái sử dụng bởi hàng chục công ty Blockchain khác, nên rất khó để biết được ai thực sự ảnh hưởng. Theo BeInCrypto, nếu nạn nhân là những ví càng lâu năm (ví dụ từ 2010) và số dư lớn, có thể gây tâm lý hoang mang cho nhà đầu tư.
Bên cạnh đó, Unciphered cũng cảnh báo rằng những ví Dogecoin cũng bị ảnh hưởng bởi lỗ hổng này, và có thể là cả ví Litecoin và Zcash. Lý do là vì từ 2013, Dogechain.info là một trình khám phá Dogecoin phổ biến cung cấp các dịch vụ tạo ví có sử BitcoinJS.
Để chứng minh lỗ hổng này nguy hiểm ra sao, @trailofbits đã nhanh chóng tạo một nguyên mẫu cho một cuộc tấn công bằng Python, và kết quả là họ đã khôi phục được từ khóa hạt giống mà chỉ mất có vài ngày trên một chiếc Macbook.
Chưa thể rõ liệu hệ quả của Randstorm để lại sẽ lan rộng và nguy hại đến đâu, nhưng nếu bạn là một Hodler lâu năm trước 2016, hãy xem xét đổi sang một ví khác.
Chia sẻ ngay ý kiến của bạn trong cộng đồng của chúng tôi Telegram chat | Telegram channel | Facebook fanpage.
Những nền tảng giao dịch Crypto tốt nhất tại Việt Nam | Tháng 12 năm 2023
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
