Trang chủ Tạp chí Tin tức Bitcoin (BTC) 900.000 đô la “không cánh mà bay” do lỗ hổng từ dự...

900.000 đô la “không cánh mà bay” do lỗ hổng từ dự án Bitcoin lâu năm

Vào năm 2011, chỉ 2 năm sau khi Bitcoin được ra mắt, nhà phát triển vô chính phủ người Anh gốc Iran Amir Taakia và một nhóm lập trình viên code nguồn mở đã tạo ra giải pháp thay thế cho Bitcoin Core – phần mềm ban đầu và vẫn là cách phổ biến nhất để kết nối với mạng Bitcoin.

Phần mềm đó được gọi là Libbitcoin, hiện đã phát triển thành một bộ công cụ toàn diện, hay còn gọi là thư viện dành cho các chức năng quan trọng như giao tiếp với blockchain Bitcoin và tạo khóa mật mã.

Nó thậm chí còn được giới thiệu trong cuốn sách nổi tiếng và được cho là kinh điển “Mastering Bitcoin” của nhà giáo dục Bitcoin Andreas Antonopoulos.

Nhưng sau khi khoảng 900.000 đô la biến mất khỏi ví của nhiều người dùng trong vài tháng qua, Libbitcoin từng được cho là an toàn hóa ra lại không như vậy.

Theo một báo cáo trên milksad.info trong đó trình bày chi tiết những phát hiện của Distrust, công ty bảo mật đã phát hiện lỗ hổng vào tháng 7, với sự hỗ trợ của một nhóm cộng tác viên độc lập.

Vào một thời điểm nào đó trong tháng 5, hacker đã bắt đầu bí mật đánh cắp tiền từ những người dùng nhẹ dạ sau khi phát hiện lỗ hổng khó hiểu trong một số ví do trình khám phá Libbitcoin tạo ra, có tên là BX.

Báo cáo cho biết lỗ hổng này được đặt tên là “Milk Sad” vì “milk” và “sad” là hai từ đầu tiên trong cụm từ hạt giống khôi phục ví do lỗ hổng này tạo ra.

Vụ trộm lớn nhất đã lấy đi 29,65 BTC trị giá khoảng 870.000 đô la theo tỷ giá hiện tại, diễn ra vào ngày 12/7. Distrust cho biết tổng cộng ít nhất 900.000 đô la đã bị đánh cắp trên nhiều blockchain, bao gồm từ một số trong khoảng 2.600 ví Bitcoin bị lỗ hổng ảnh hưởng.

Theo tweet ngày 8/8 của nhà phân tích Anton Livaja thuộc team Distrust, ví phần cứng như Trezor và Ledger dường như không bị thiệt hại, nhưng vẫn có một số ví gặp rủi ro và toàn bộ số tiền bị đánh cắp “vẫn chưa được xác định”.

BX đi kèm với lệnh văn bản “bx seed” sử dụng đồng hồ trên máy tính của nhà phát triển để tạo cụm từ gốc trong quá trình tạo ví.

Phần mềm tiền điện tử sử dụng các kết hợp ngẫu nhiên từ 12 đến 24 từ hoặc cung cấp cụm từ gốc cho những người dùng muốn “khôi phục” hoặc lấy lại quyền truy cập vào ví của họ trong trường hợp vô tình làm mất.

Nhưng khi sử dụng BX, cụm từ kết quả hóa ra không đủ ngẫu nhiên. Theo báo cáo, “một PC chơi game tốt có thể thực hiện tìm kiếm kiểu tấn công brute-force”, được hiểu là đoán tất cả các tổ hợp từ có thể có cho cụm từ hạt giống của người dùng “trong vòng chưa đầy một ngày”.

Báo cáo cho biết:

“Hãy coi đây là bảo vệ tài khoản ngân hàng trực tuyến của bạn bằng một trình quản lý mật khẩu tạo mật khẩu dài ngẫu nhiên. Nhưng nó thường tạo ra những mật khẩu giống nhau cho mọi người dùng. Những kẻ ác ý đã phát hiện ra điều này và rút tiền trên bất kỳ tài khoản nào mà chúng có thể tìm thấy”.

Ethereum, Zcash, Solana, Dogecoin bị ảnh hưởng

Milk Sad không chỉ xảy ra ở Bitcoin. Ethereum, Zcash, Solana và thậm chí cả Dogecoin cũng nằm trong danh sách 8 blockchain bị ảnh hưởng. Các lỗ hổng tương tự nhưng không giống hệt đã được phát hiện trong Cake WalletTrust Wallet, cả hai đều là ứng dụng ví đa chain.

Thông thường, các cụm từ gốc được tạo bằng cách sử dụng trình tạo có khả năng sản xuất một tập hợp hoặc “không gian khóa” với số lượng kết hợp từ duy nhất được biểu thị bằng số mũ của một chữ số nhị phân hoặc “bit” – về cơ bản là lũy thừa 2 bậc 128, 192 hoặc 256.

BX có không gian khóa 32-bit ít ỏi, chỉ có thể tạo ra khoảng 4,3 tỷ tổ hợp từ duy nhất.

“Con số đó không cho thấy nhiều sự kết hợp như vẻ ngoài”, báo cáo nhận xét.

Eric Voskuil, nhà phát triển chính của BX, thừa nhận trình tạo cụm từ hạt giống thực sự không an toàn, nhưng khẳng định không có lỗi trong phần mềm, đồng thời cho rằng lệnh bx seed text đã bị lạm dụng. Anh đã tweet một ảnh chụp màn hình tài liệu GitHub của ứng dụng để cảnh báo các nhà phát triển về lỗ hổng bảo mật.

Bitcoin

Nguồn: Eric Voskuil

“Đây không phải là lỗi trong BX hay Libbitcoin. Đó là do phát triển ví liều lĩnh”, Voskuil đã tweet.

Tuy nhiên, một số nhà mật mã học trong cộng đồng Bitcoin cho rằng không có gì khác biệt. Tim Ruffing, nhà mật mã học tại công ty cơ sở hạ tầng Bitcoin Blockstream đã tweet:

“Vụ việc rất rõ ràng. Đó là lỗi của bạn, chấm hết”.

Tham gia Telegram của Tạp Chí Bitcoin: https://t.me/tapchibitcoinvn

Theo dõi Twitter: https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin  

Minh Anh

Theo Coindesk

MỚI CẬP NHẬT

Giá XRP tăng vọt lên mức cao nhất trong 3 năm khi lạc quan...

Khi Chủ tịch Ủy ban Chứng khoán và Giao dịch (SEC), ông Gary Gensler, chuẩn bị từ chức, một loại tiền điện tử từng...
apple

Apple thừa nhận lỗ hổng bảo mật khiến người dùng crypto bị lộ thông...

Vào thứ 2, Apple xác nhận các thiết bị của hãng đang đối mặt với nguy cơ bị exploit (tấn công khai thác) để...
Bitcoin

Dự trữ Bitcoin sẽ không giải quyết được khủng hoảng nợ của Hoa Kỳ

Theo Chủ tịch của một nhóm nghiên cứu phi lợi nhuận, kế hoạch thiết lập quỹ dự trữ Bitcoin chiến lược của Thượng nghị...

Token Ethena (ENA) tăng mạnh sau khi Deribit tích hợp USDe

Deribit, một trong những sàn giao dịch phái sinh crypto lớn nhất thế giới, có kế hoạch tích hợp USDe của Ethena làm tài...
phân tích kỹ thuật

Phân tích kỹ thuật tối ngày 22 tháng 11: XRP, ADA, OP, SOL và...

Tuần này, chúng ta sẽ xem xét chi tiết về Ripple (XRP), Cardano (ADA), Optimism (OP), Solana (SOL) và Dogecoin (DOGE). Phân tích kỹ thuật...
tiền điện tử

Khối lượng giao dịch tiền điện tử liên tiếp thiết lập kỷ lục vào...

Khối lượng giao dịch tiền điện tử hàng ngày trên các sàn giao dịch đã đạt mức cao nhất trong 12 tháng là 117...
eth

CryptoQuant: OI hợp đồng tương lai ETH đạt mức cao kỷ lục mới hơn...

Thị trường phái sinh Ethereum (ETH) có lẽ đang báo hiệu động lực tăng giá khi hợp đồng mở (OI)* hợp đồng tương lai...

Texas đang thảo luận về dự luật dự trữ chiến lược Bitcoin

Theo thông tin từ nhóm vận động phi lợi nhuận Satoshi Action Fund (SAF), dự luật dự trữ chiến lược Bitcoin đang được thảo...

Tin vắn Crypto 22/11: Bitcoin mới chỉ bắt đầu giai đoạn parabol trong chu...

Từ nhận định Bitcoin "mới chỉ bắt đầu giai đoạn parabol trong chu kỳ hiện tại" đến CFPB loại ví tiền điện tử ra...

Mùa Altcoin đầy sôi động: Đừng bỏ lỡ cơ hội đầu tư vào các...

Thị trường tiền điện tử vài tuần gần đây liên tục ghi nhận đà tăng trưởng bùng nổ mạnh mẽ. Đồng Bitcoin (BTC) gần...

Tập đoàn Charles Schwab cân nhắc giao dịch crypto, tân CEO ‘cảm thấy ngớ...

Charles Schwab, một trong những tập đoàn tài chính lớn nhất Hoa Kỳ, có kế hoạch tham gia thị trường crypto giao ngay khi...

Giá Popcat giảm mạnh, CatSlap bùng nổ ngày ra mắt. Meme coin hệ mèo...

Hãy quên Popcat đi! Một meme coin mới có tên CatSlap ($SLAP) vừa chính thức ra mắt và nhanh chóng trở thành cái tên...
Sandeep Nailwal của Polygon cảnh báo Rug Pulls memecoin

Các vụ kéo thảm memecoin như QUANT có thể thu hút sự đàn áp...

Sandeep Nailwal, đồng sáng lập mạng Ethereum layer-2 Polygon, cảnh báo rằng sự gia tăng các vụ lừa đảo liên quan đến memecoin có...

Các vụ kiện của SEC sẽ “âm thầm khép lại” sau khi Gensler từ...

Nhiều vụ kiện liên quan đến chứng khoán nhằm vào các công ty crypto tại Hoa Kỳ có khả năng sẽ “âm thầm khép...

[QC] Dogizen, ICO Đầu Tiên Trên Telegram, Thu Hút Được 1,4 Triệu USD Khi...

Trong thời gian ngắn, Dogizen đã thu hút sự chú ý trên khắp thế giới tiền điện tử, huy động được hơn 1,4 triệu...

The Graph (GRT) giới thiệu tiêu chuẩn GRC-20 cho cấu trúc dữ liệu Web3

The Graph, một hệ thống lập chỉ mục phi tập trung tương tự Google dành cho blockchain, đã giới thiệu một tiêu chuẩn dữ...