Ba nhà nghiên cứu và kỹ sư đã có một bài trình bày tại sự kiện Chaos Communication Congress lần thứ 35 trong đó tiết lộ các lỗ hổng bảo mật trong các ví phần cứng tiền mã hóa. Trezor và Ledger đã trả lời ngắn gọn rằng số dư tiền mã hóa của người dùng của họ là an toàn.
Dmitry Nedospasov, Thomas Roth và Josh Datko, đã tạo ra trang web wallet.fail và hứa sẽ xuất bản trực tuyến bài trình bày của họ trong Chaos Communication Congress sau sự kiện này. Trong vòng 24 giờ, các tuyên bố của nhà nghiên cứu đã được công bố và hai nhà sản xuất ví phần cứng hàng đầu đã phản hồi.
Ledger cho biết tài sản tiền mã hóa trong ví vẫn được bảo mật
Ledger đã phản hồi tất cả với một bài đăng trên blog nói rằng mặc dù họ rất vui khi thấy mọi người thách thức tính bảo mật của hãng nhưng:
“Họ đã trình bày 3 hướng tấn công có thể gây ấn tương với việc các lỗ hổng nghiêm trọng đã bị phát hiện trên các thiết bị Ledger. Đây không phải là trường hợp”.
Mặc dù các nhà nghiên cứu nói rằng tất cả họ đều yêu thích tiền mã hóa và bản thân họ đều sở hữu tiền mã hóa nhưng Ledger cũng có vẻ hơi thất vọng khi nói thêm rằng:
“Trong thế giới bảo mật, cách thông thường để tiến hành là tiết lộ có trách nhiệm. Chúng tôi rất tiếc vì các nhà nghiên cứu đã không tuân theo các nguyên tắc bảo mật tiêu chuẩn được nêu trong chương trình Bounty của Ledger”.
Ledger cũng tin rằng ba nhà nghiên cứu đã không cung cấp các lỗ hổng thực tế trên mạng.
Đầu tiên, các nhà nghiên cứu đã thực hiện một cuộc tấn công để sửa đổi ví tiền vật lý và sử dụng phần mềm độc hại trên PC của chủ sở hữu tiền mã hóa kết hợp với một kẻ tấn công tiềm năng trong một căn phòng gần đó cần nhập mã PIN bị hack từ xa và khởi chạy ứng dụng tiền mã hóa. Ledger nhận định về kiểu tấn công này:
“Nó khá là không thực tế và một hacker có mưu đồ chắc chắn sẽ sử dụng các thủ thuật hiệu quả hơn”.
Thứ hai:
“Họ đã cố gắng thực hiện một cuộc tấn công chuỗi cung ứng bằng cách bỏ qua kiểm tra MCU, nhưng họ đã không thành công. MCU quản lý màn hình nhưng không có quyền truy cập vào mã PIN cũng như hạt giống (của ví Ledger) được lưu trữ trên Phần tử bảo mật”.
Mặc dù Ledger thừa nhận có một lỗi trong chức năng cập nhật firmware cho phép các nhà nghiên cứu bổ sung thêm phần mềm nhưng Ledger cho biết lỗi này đã được khắc phục trong phiên bản firmware tiếp theo của thiết bị và lỗi này không cho phép bất cứ thứ gì xảy ra ngoài giao diện gỡ lỗi JTAG. Các nhà nghiên cứu không thể truy cập vào các quỹ tiền mã hóa.
Cuối cùng, đối với ví Ledger Blue, các nhà nghiên cứu đã đo phát xạ vô tuyến khi nhập mã PIN, cách thức này có thể giúp kẻ tấn công tính toán mã PIN người dùng. Ledger nói rằng cuộc tấn công rất thú vị nhưng trong điều kiện thực tế thì việc này yêu cầu thiết bị phải giữ nguyên vị trí khi “cuốn từ điển phát xạ được tra cứu”. Điều này rất khó xảy ra.
Có vẻ như Ledger đã xem xét khả năng về một cuộc tấn công như vậy khi họ phản hồi rằng:
“Chúng tôi đã triển khai bàn phím ngẫu nhiên cho mã PIN trên Ledger Nano S và cải tiến tương tự được lên lịch trong bản cập nhật Firmger Ledger Blue tiếp theo”.
Trezor: Nếu bạn còn giữ thiết bị thì … hãy cứ tiếp tục sử dụng nó
Về phần Trezor, nhà sản xuất này phản hồi rằng:
“Kẻ tấn công sẽ cần quyền truy cập vật lý vào thiết bị của bạn. Nếu bạn có quyền kiểm soát vật lý đối với ví Trezor của mình, bạn có thể tiếp tục sử dụng nó và lỗ hổng này không phải là mối đe dọa đối với bạn”.
Trezor cũng đã nói rằng những người dùng quan tâm có thể kích hoạt tính năng passphrase – cụm mật khẩu trên các ví phần cứng Trezor của mình, nhưng nếu quyên cụm mật khẩu này thì đồng nghĩa với việc người dùng cũng sẽ mất tiền trong đó.
Các nhà nghiên cứu dường như đã xác định được một số điểm yếu tiềm tàng, tuy nhiên không có khả năng xảy ra. Dường như Ledger và Trezor đã đi trước trong việc xác định các lỗ hổng.
Ledger đã bán hơn một triệu ví tiền trong năm 2017 và tiếp tục trở thành công ty hàng đầu trong ngành với một loạt các quan hệ đối tác mới. Trezor cũng tiếp tục phát triển ví của mình và gần đây đã bổ sung thêm hỗ trợ Ethereum bản địa.
Nguồn: Tapchibitcoin.io
