Trang chủ Tạp chí Tin tức Bitcoin (BTC) 900.000 đô la “không cánh mà bay” do lỗ hổng từ dự...

900.000 đô la “không cánh mà bay” do lỗ hổng từ dự án Bitcoin lâu năm

Vào năm 2011, chỉ 2 năm sau khi Bitcoin được ra mắt, nhà phát triển vô chính phủ người Anh gốc Iran Amir Taakia và một nhóm lập trình viên code nguồn mở đã tạo ra giải pháp thay thế cho Bitcoin Core – phần mềm ban đầu và vẫn là cách phổ biến nhất để kết nối với mạng Bitcoin.

Phần mềm đó được gọi là Libbitcoin, hiện đã phát triển thành một bộ công cụ toàn diện, hay còn gọi là thư viện dành cho các chức năng quan trọng như giao tiếp với blockchain Bitcoin và tạo khóa mật mã.

Nó thậm chí còn được giới thiệu trong cuốn sách nổi tiếng và được cho là kinh điển “Mastering Bitcoin” của nhà giáo dục Bitcoin Andreas Antonopoulos.

Nhưng sau khi khoảng 900.000 đô la biến mất khỏi ví của nhiều người dùng trong vài tháng qua, Libbitcoin từng được cho là an toàn hóa ra lại không như vậy.

Theo một báo cáo trên milksad.info trong đó trình bày chi tiết những phát hiện của Distrust, công ty bảo mật đã phát hiện lỗ hổng vào tháng 7, với sự hỗ trợ của một nhóm cộng tác viên độc lập.

Vào một thời điểm nào đó trong tháng 5, hacker đã bắt đầu bí mật đánh cắp tiền từ những người dùng nhẹ dạ sau khi phát hiện lỗ hổng khó hiểu trong một số ví do trình khám phá Libbitcoin tạo ra, có tên là BX.

Báo cáo cho biết lỗ hổng này được đặt tên là “Milk Sad” vì “milk” và “sad” là hai từ đầu tiên trong cụm từ hạt giống khôi phục ví do lỗ hổng này tạo ra.

Vụ trộm lớn nhất đã lấy đi 29,65 BTC trị giá khoảng 870.000 đô la theo tỷ giá hiện tại, diễn ra vào ngày 12/7. Distrust cho biết tổng cộng ít nhất 900.000 đô la đã bị đánh cắp trên nhiều blockchain, bao gồm từ một số trong khoảng 2.600 ví Bitcoin bị lỗ hổng ảnh hưởng.

Theo tweet ngày 8/8 của nhà phân tích Anton Livaja thuộc team Distrust, ví phần cứng như Trezor và Ledger dường như không bị thiệt hại, nhưng vẫn có một số ví gặp rủi ro và toàn bộ số tiền bị đánh cắp “vẫn chưa được xác định”.

BX đi kèm với lệnh văn bản “bx seed” sử dụng đồng hồ trên máy tính của nhà phát triển để tạo cụm từ gốc trong quá trình tạo ví.

Phần mềm tiền điện tử sử dụng các kết hợp ngẫu nhiên từ 12 đến 24 từ hoặc cung cấp cụm từ gốc cho những người dùng muốn “khôi phục” hoặc lấy lại quyền truy cập vào ví của họ trong trường hợp vô tình làm mất.

Nhưng khi sử dụng BX, cụm từ kết quả hóa ra không đủ ngẫu nhiên. Theo báo cáo, “một PC chơi game tốt có thể thực hiện tìm kiếm kiểu tấn công brute-force”, được hiểu là đoán tất cả các tổ hợp từ có thể có cho cụm từ hạt giống của người dùng “trong vòng chưa đầy một ngày”.

Báo cáo cho biết:

“Hãy coi đây là bảo vệ tài khoản ngân hàng trực tuyến của bạn bằng một trình quản lý mật khẩu tạo mật khẩu dài ngẫu nhiên. Nhưng nó thường tạo ra những mật khẩu giống nhau cho mọi người dùng. Những kẻ ác ý đã phát hiện ra điều này và rút tiền trên bất kỳ tài khoản nào mà chúng có thể tìm thấy”.

Ethereum, Zcash, Solana, Dogecoin bị ảnh hưởng

Milk Sad không chỉ xảy ra ở Bitcoin. Ethereum, Zcash, Solana và thậm chí cả Dogecoin cũng nằm trong danh sách 8 blockchain bị ảnh hưởng. Các lỗ hổng tương tự nhưng không giống hệt đã được phát hiện trong Cake WalletTrust Wallet, cả hai đều là ứng dụng ví đa chain.

Thông thường, các cụm từ gốc được tạo bằng cách sử dụng trình tạo có khả năng sản xuất một tập hợp hoặc “không gian khóa” với số lượng kết hợp từ duy nhất được biểu thị bằng số mũ của một chữ số nhị phân hoặc “bit” – về cơ bản là lũy thừa 2 bậc 128, 192 hoặc 256.

BX có không gian khóa 32-bit ít ỏi, chỉ có thể tạo ra khoảng 4,3 tỷ tổ hợp từ duy nhất.

“Con số đó không cho thấy nhiều sự kết hợp như vẻ ngoài”, báo cáo nhận xét.

Eric Voskuil, nhà phát triển chính của BX, thừa nhận trình tạo cụm từ hạt giống thực sự không an toàn, nhưng khẳng định không có lỗi trong phần mềm, đồng thời cho rằng lệnh bx seed text đã bị lạm dụng. Anh đã tweet một ảnh chụp màn hình tài liệu GitHub của ứng dụng để cảnh báo các nhà phát triển về lỗ hổng bảo mật.

Bitcoin

Nguồn: Eric Voskuil

“Đây không phải là lỗi trong BX hay Libbitcoin. Đó là do phát triển ví liều lĩnh”, Voskuil đã tweet.

Tuy nhiên, một số nhà mật mã học trong cộng đồng Bitcoin cho rằng không có gì khác biệt. Tim Ruffing, nhà mật mã học tại công ty cơ sở hạ tầng Bitcoin Blockstream đã tweet:

“Vụ việc rất rõ ràng. Đó là lỗi của bạn, chấm hết”.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin  

Minh Anh

Theo Coindesk

MỚI CẬP NHẬT

Magic Eden ra mắt chương trình phần thưởng Mùa 2.

Magic Eden ra mắt chương trình phần thưởng Mùa 2

Thị trường NFT Magic Eden vừa ra mắt Mùa 2 của chương trình phần thưởng, với mục tiêu khuyến khích người dùng thông qua...
bitcoin

Hơn 13.000 tổ chức đang nắm giữ Strategy khi Saylor úp mở mua thêm...

Michael Saylor – đồng sáng lập công ty Strategy – vừa hé lộ khả năng sắp thực hiện một thương vụ mua thêm Bitcoin, đồng...
melania-giam-gia

Đội ngũ MELANIA bị nghi xả 15 triệu USD trong khi giá token giảm...

Nhà phân tích blockchain EmberCN vừa đưa ra cáo buộc rằng đội ngũ phát triển memecoin MELANIA – do Đệ nhất phu nhân Melania...

Cá voi tiền điện tử đang mua gì cho tháng 5 năm 2025

"Cá voi" tiền điện tử đang thực hiện những bước đi táo bạo khi bước vào tháng 5 năm 2025, với ba đồng coin...
Bitcoin hay Ethereum sẽ thống trị tương lai

Bitcoin hay Ethereum sẽ thống trị thị trường tiền điện tử

Thị trường tiền điện tử luôn biến động không ngừng, được thúc đẩy bởi sự đổi mới công nghệ, sự hứng khởi của nhà...
Bitcoin

Giá Bitcoin sắp sụp đổ lần nữa?

Bitcoin phục hồi 14,6% sau khi giảm xuống dưới 75.000 đô la lần đầu tiên trong vòng năm tháng vào tháng 4. Tuy nhiên,...

ETH trượt dưới 1.600 đô la – Đừng bỏ lỡ cơ hội mua này!

Trong suốt bốn tháng qua, Ethereum (ETH) đã gặp khó khăn trong việc duy trì đà tăng trưởng. Quan sát biểu đồ có thể...

Chainlink cần gì để bứt phá lên 26 USD?

Chainlink (LINK) đang trải qua giai đoạn bấp bênh khi liên tục kiểm định các ngưỡng kháng cự quan trọng, trong khi các chỉ...
doge

Cộng đồng Dogecoin mừng ngày “Dogeday” 20/4 khi quyết định ETF sắp được công...

Holder Dogecoin trên toàn thế giới đang ăn mừng ngày “Dogeday" 20/4, khi cộng đồng memecoin chờ đợi các mốc thời gian quan trọng...
pepe-tang

Liệu PEPE có bùng nổ sau khi 37 triệu USD đổ vào thị trường?

Mặc dù PEPE đang cho thấy tín hiệu tích cực với mô hình tăng giá gợi mở khả năng tiếp tục đi lên, nhưng...

Tin vắn Crypto 20/04: Bitcoin bước vào giai đoạn tích lũy có cấu trúc...

Từ nhận định Bitcoin bước vào giai đoạn tích lũy có cấu trúc dưới $87.000 đến Tổng chưởng lý bang Oregon đã đệ đơn...
crypto

Anthony Pompliano : Sa thải Powell tạo ra tiền lệ nguy hiểm và đe...

Nhà đầu tư Anthony Pompliano đã lên tiếng chỉ trích gay gắt lời đe dọa của Tổng thống Donald Trump về việc sa thải...
dot-shib-inu

Tỷ lệ đốt Shiba Inu tăng vọt 3.273% – Giá SHIB sắp bước vào...

Tỷ lệ đốt token của Shiba Inu (SHIB) trong 24 giờ qua đã chứng kiến cú nhảy vọt ấn tượng lên tới 3.273%, tương...

Mức 145 đô la sẽ quyết định thành bại của SOL

Động lực thị trường của Solana (SOL) đang tăng tốc khi hoạt động on-chain, sự quan tâm đến staking và dòng tiền từ cá...
Tiền điện tử không phải là chủ nghĩa cộng sản

‘Tiền điện tử không phải là chủ nghĩa cộng sản’ — Exec chỉ trích...

Người đứng đầu một công ty đầu tư blockchain đã cảnh báo rằng những nỗ lực của Ngân hàng Thanh toán Quốc tế (BIS)...
OM

5 lời khuyên tự bảo vệ từ các chuyên gia khi hodl MANTRA (OM)

Token MANTRA (OM) sụp đổ đã khiến giới đầu tư choáng váng, khiến nhiều người đang phải đối mặt với những khoản thua lỗ...