Theo một nghiên cứu mới, một số ví tiền điện tử chạy trên trình duyệt phổ biến dễ bị hack trong một số điều kiện nhất định.
Công ty bảo mật blockchain Halborn đã phát hiện ra một số trường hợp trong đó các ví bao gồm Brave, MetaMask và Phantom có thể bị xâm phạm trong các trạng thái máy tính riêng biệt – thêm một khó khăn nữa cho các nhà giao dịch vẫn quay cuồng với các vụ hack tài chính phi tập trung (DeFi) nổi tiếng gần đây.
Các điều kiện có khả năng tiết lộ mã khôi phục bí mật của người dùng ví tiền điện tử (một chuỗi từ được hình thành để cấp quyền truy cập vào tiền điện tử của chủ sở hữu), sau đó có thể được sử dụng để sửa đổi khóa cá nhân của họ. Tổng cộng, ví phần mềm chứa hàng tỷ đô la tài sản kỹ thuật số.
Các nhà cung cấp ví bị ảnh hưởng đã được liên hệ và lỗ hổng bảo mật được giữ kín cho đến khi các vấn đề bảo mật được khắc phục.
Ai bị ảnh hưởng?
Người dùng có các điều kiện sau có thể gặp rủi ro:
- Người dùng có ổ cứng không được mã hóa.
- Người dùng trước đây đã nhập mã khôi phục bí mật của họ vào một tiện ích mở rộng web trên thiết bị thuộc quyền sở hữu của người khác hoặc máy tính của họ đã bị xâm phạm.
- Người dùng đã sử dụng hộp kiểm “hiển thị cụm từ khôi phục bí mật” để xem cụm từ khôi phục bí mật của họ trên màn hình trong quá trình nhập.
Ví tiền điện tử giống như những ví bị ảnh hưởng bởi lỗ hổng này, chẳng hạn như Metamask, là một ví tự lưu ký – nghĩa là chỉ người dùng chịu trách nhiệm bảo vệ khóa riêng tư của họ.
“Các sàn giao dịch như Coinbase hoặc Binance thường thay mặt khách hàng của họ giữ quyền quản lý các khóa đó”, Steven Walbroehl, giám đốc bảo mật và đồng sáng lập của Halborn, nói với Blockworks.
Walbroehl nói thêm,
"Điều này chỉ ảnh hưởng đến những cá nhân tự lưu giữ những tài sản đó và người dùng có trách nhiệm nghiêm túc xem xét nó, nâng cấp lên phiên bản cập nhật được cung cấp trên trang web của nhà phát triển ví và liên tục thay đổi mã bảo mật của họ nếu họ đoán rằng nó rủi ro."
MetaMask đã yêu cầu người dùng cập nhật các phiên bản tiện ích mở rộng của họ lên 10.11.3 trở lên và “dành thời gian để kích hoạt mã hóa toàn bộ ổ đĩa trên máy tính”.
Echoing Walbroehl, Dan Finlay, người sáng lập và quản lý nhóm tại MetaMask đã viết trong một bài đăng trên blog rằng người dùng nên “nhớ rằng bạn có trách nhiệm giữ an toàn cho máy tính của mình. Không có ví hoặc phần mềm nào có thể tự giữ an toàn nếu hệ thống mà nó chạy bị xâm phạm. Hãy dành thời gian để tìm hiểu cách tránh cài vi-rút vào máy tính của bạn ”.
Trong khi đó, Phantom đã viết trong một bài đăng trên blog rằng để tự bảo vệ mình trên Web3, ngoài các biện pháp an toàn internet chung, người dùng nên đa dạng hóa ví của họ để giảm thiểu rủi ro và sử dụng ví phần cứng để lưu trữ một lượng lớn tài sản và tiền tệ.
Walbroehl nói thêm,
"Các biện pháp giảm nhẹ khác bao gồm đặt các cụm từ và từ khóa dễ nhớ vào ví dựa trên phần cứng, chẳng hạn như Trezor hoặc Ledger. Khi được kết nối vật lý qua cáp USB, các ví này vẫn hoạt động với các ví phần mềm như Metamask … nhưng nó bảo vệ từ khóa khỏi những kẻ tấn công có thể truy cập vào ổ đĩa của bạn ."
Halborn đã được thưởng 50.000 đô la. Các nhà cung cấp ví đã không trả lại ngay lập tức yêu cầu bình luận. MetaMask, Phantom, Brave và các ví tiền điện tử chạy trên trình duyệt khác cho biết không có khoản tiền của người dùng nào được xác định bị ảnh hưởng.
