Ví cứng Trezor T có thể bị hack?
Trong video mô phỏng quá trình hack ví trên YouTube, Unciphered đã tiết lộ cách trích xuất seed phrase hoặc private key (khoá cá nhân) của ví Trezor T. Theo đó, nền tảng này cho biết ví tiền mã hoá của Trezor tồn tại lỗ hổng phần cứng và có thể dẫn đến nguy cơ bị kẻ xấu tấn công.
Đây không phải là lần đầu tiên Unciphered chỉ ra cách tuy xuất seed phrase của các ví cứng trong giới tiền mã hoá. Vào hồi tháng 2, nền tảng này cũng đã mô phỏng vụ hack tương tự trên ví do OneKey - công ty có trụ sở tại Hong Kong phát hành.
It's official we're the first to crack the @Trezor T by @satoshilabs.
— Unciphered LLC (@uncipheredLLC) May 24, 2023
Unfortunately, it's unfixable at the chip level: https://t.co/42d7GgSNvl#btc #vulndev #cryptocurrency #badbounty
Ví cứng là ví tiền mã hoá lưu trữ private key ngoại tuyến nhằm bảo vệ tài sản crypto của người dùng. Tuy nhiên, Unciphered nhấn mạnh cơ chế bảo mật phần cứng của Trezor T có vấn đề. Điều này có thể gây ra các vụ tấn công trên nền tảng. Song, công ty cũng cho biết vụ tấn công chỉ xảy ra nếu hacker nắm được quyền truy cập vào ví.
Bên cạnh đó, trong video, đội ngũ Unciphered chia sẻ đã tạo ra một cuộc tấn công mới cho phép trích xuất cơ sở dữ liệu của ví. Eric Michaud - đồng sáng lập Unciphered cho biết dự án có thể bẻ khoá seed phrase của ví Trezor T bằng cách sử dụng các chip GPU.
“Chúng tôi đã tải lên cơ sở dữ liệu đã được trích xuất thông qua việc bẻ khoá seed phrase của ví. Unciphered có khoảng 10 GPU, chúng được tận dụng để trích xuất khoá của ví cứng Trezor T”, Michaud giải thích trong video.
Ngoài ra, Michaud nhấn mạnh việc khắc phục lỗ hổng bảo mật của ví cứng sẽ khiến Trezor phải thu hồi tất cả sản phẩm của công ty trên thị trường tiền mã hoá.
Trong khi đó, Trezor thừa nhận video mô phỏng vụ hack của Unciphered có những điểm tương đồng với lỗ hổng Read Protection Downgrade (RDP) được phát hiện bởi các nhà nghiên cứu của Kraken Security Labs. Theo đó, lỗi này có thể ảnh hưởng đến cả Trezor One và Trezor Model T. Động thái của công ty ngụ ý rằng lỗ hổng này không phải là mới xuất hiện.
“Đây là một lỗ hổng còn được gọi là tấn công hạ cấp RDP. Tuy nhiên, Trezor có thể được bảo vệ bằng mật khẩu mạnh và có thêm lớp bảo mật bổ sung khác khiến cuộc tấn công trở nên vô ích", Tomáš Sušánka - Giám đốc Công nghệ của Trezor cho biết.
Không chỉ Trezor T, gần đây ví cứng Ledger cũng gặp vấn đề liên quan đến seed phrase hay private key. Như Interlock đưa tin, trước đó, Ledger đã đưa ra bản cập nhật với dịch vụ mới có tên gọi Ledger Recover, cho phép người dùng có thể gửi bản sao của seed phrase đến cho các bên thứ ba. Người dùng có thể tái lập private key nếu họ quên hoặc mất seed phrase.
Tuy nhiên, sau khi nhận về nhiều phản ứng trái chiều từ cộng đồng, nhà cung cấp ví cứng Ledger đã trì hoãn kế hoạch triển khai tính năng khôi phục passphrase. Theo đó, Pascal Gauthier, CEO của Ledger, cho biết công ty sẽ không triển khai tính năng mới mà sẽ công bố mã nguồn của nó.
Đọc thêm: Ledger hoãn dịch vụ khôi phục private key