Cuộc thử nghiệm mới đây của đơn vị bảo mật Unciphered cho thấy ví cứng Trezer T vẫn có lỗ hổng và hoàn toàn có thể bị hack.
Công ty bảo mật Unciphered tuyên bố ví cứng Trezor T có thể bị hack
Theo video mô phỏng quá trình hack ví Trezor T, Unciphered tuyên bố ví cứng có thể bị hack thông qua việc sở hữu vật lý. Điều này có nghĩa nếu ví Trezor T của một người bị đánh cắp, kẻ xấu hoàn toàn có thể rút tiền ra khỏi ví.
It's official we're the first to crack the @Trezor T by @satoshilabs.
— Unciphered LLC (@uncipheredLLC) May 24, 2023
Unfortunately, it's unfixable at the chip level: https://t.co/42d7GgSNvl#btc #vulndev #cryptocurrency #badbounty
Cụ thể, trong video mô phỏng, Unciphered đã điều chỉnh các chip GPU của ví, sau đó sử dụng phần mềm mà họ phát triển để trích xuất cơ sở dữ liệu. Cuối cùng là lấy được thông tin cụm seed phrase và khoá cá nhân của ví.
Đây cũng không phải lần đầu tiên đơn vị bảo mật bẻ khoá một hãng ví cứng. Vào tháng 2, công ty cũng đã tiến hành một vụ hack tương tự lên ví do OneKey trụ sở tại Hong Kong sản xuất.
Eric Michaud, đồng sáng lập Unciphered, cho biết việc khai thác được lỗ hổng này của Trezor T có khả năng sẽ khiến công ty thu hồi lại tất cả sản phẩm đang có mặt trên thị trường.
Về phía Trezor, công ty đã thừa nhận video mô phỏng của Unciphered có những điểm tương đồng với lỗ hổng Read Protection Downgrade (RDP) được phát hiện bởi đơn vị nghiên cứu Kraken Security Labs trước đó, lỗ hổng đã ảnh hưởng đến hai phiên bản Trezor One và Trezor Model T. Song, phản hồi của Trezor ngụ ý rằng phát hiện của Unciphered không phải là mới.
Tomáš Sušánka, Giám đốc công nghệ của Trezor trả lời trước truyền thông:
“Đây dường như là một lỗ hổng được gọi là tấn công RDP và đã thông báo trên blog của chúng tôi vào đầu năm 2020, các cuộc tấn công RDP yêu cầu đánh cắp thiết bị vật lý cũng như kiến thức công nghệ cực kỳ tinh vi và có thiết bị tiên tiến.”
Để giải quyết vấn đề đã tồn đọng từ lâu, Trezor cho biết họ đang cùng với công ty chị em Tropic Square phát triển thêm một lớp bảo mật mới cho sản phẩm ví Trezor T của mình.
Vị CTO cho biết:
“Kể cả những điều trên, Trezors đang được bảo vệ bằng cụm mật khẩu mạnh, việc bổ sung thêm một lớp bảo mật khác sẽ khiến việc tấn công RDP trở nên vô ích.”
Ví cứng hay ví lạnh từ trước đến nay được xem là phương thức lưu trữ tài sản có độ an toàn cao nhất, như một chiếc két sắt bất xâm phạm vì được thiết kế tách biệt ra khỏi mạng on-chain. Song, vụ lùm xùm của các hãng ví uy tín mới đây cùng với phát hiện của Unciphered dự sẽ làm giảm trầm trọng niềm tin của người dùng vào loại ví này.
Trước đó như Coin68 đưa tin, ví Trezor T đã vướng phải trường hợp bị làm nhái “gần như y đúc" về ngoài hình lẫn công năng. Cụ thể, một người dùng xấu số đã mua một chiếc ví cứng Trezor Model T thông qua trang web bán hàng được quảng cáo uy tín. Nhưng đến khi nạn nhân chuyển BTC của mình vào ví thì số crypto đó đã bị chuyển ra ngay lập tức.
Trong khi đó, hãng ví lạnh phổ biến khác là Ledger cũng đang bị nghi vấn có “cửa hậu" khi mập mờ về chuyện lưu trữ seed phrase người dùng từ trước, nhưng đến khi phát triển tính năng social recovery thì người dùng mới phát hiện điểm đáng ngờ.
Coin68 tổng hợp