Trang chủ Tạp chí Cảnh báo đối với Ví Cứng “Bất Khả Xâm Phạm” Bitfi

Cảnh báo đối với Ví Cứng “Bất Khả Xâm Phạm” Bitfi

Tuần trước, John McAfee treo thưởng 100,000 USD cho bất kỳ ai có thể đột nhập vào ví Bitfi – một thiết bị được quảng cáo là ví tiền kỹ thuật số “bất khả xâm phạm” đầu tiên trên thế giới.

Bitfi thậm chí còn yêu cầu mọi thứ phải được công khai. Một nhóm các tin tặc và các nhà nghiên cứu bảo mật đặc biệt đang trong tiến trình nghiên cứu và phát hiện ra một loạt các vấn đề an ninh đáng ngờ của ví cứng này.

Trong khi không ai có thể phá vỡ Bitfi để giành được phần thưởng trị giá 100,000 USD thì đã có một nhóm kỹ sư lên tiếng về việc này. Ryan Castellucci, kỹ sư phần mềm kiêm hacker phần cứng nhận xét rằng Bitfi không khác những gì xuất hiện trong các bức ảnh tiếp thị của nó – một chiếc điện thoại Android bị tước bỏ giá rẻ.

Các nhà nghiên cứu đã tải lên một danh sách đầy đủ các thư mục được nạp vào bộ nhớ của Bitfi (ROM) khi khởi chạy thiết bị này. Được công bố công khai thông qua Pastebin, chúng cung cấp một cái nhìn tổng quan đầy đủ về mọi thứ được cài đặt sẵn trên thiết bị Bitfi.

Tuy nhiên rắc rối nhất là ví này có chứa một bộ phần mềm độc hại nổi tiếng được gọi là Adups FOTA, một nền tảng phần mềm gián điệp cho phép truyền dữ liệu, cuộc gọi, vị trí và dữ liệu ứng dụng đến máy chủ ở Trung Quốc cứ 3 ngày một lần. Baidu – một ứng dụng Trung Quốc – có tích hợp chức năng theo dõi WiFi và GPS đã khiến thiết bị này trở nên hoàn hảo cho những ai yêu thích sự riêng tư tuyệt đối.

Cũng không có bộ chứa “lạnh” bên trong, tất cả các khoản tiền dường như được lưu giữ ở một nơi được gọi là ví nóng. Phương pháp lưu trữ tiền mật mã kiểu này được xem là lý do chính dẫn đến vụ hack sàn CoinCheck rúng động thế giới crypto hồi đầu năm nay.

McAfee, cố vấn của Bitfi, khẳng định cái gọi là “chiếc ví” này thực sự là một thiết bị giống như điện thoại nhỏ. “Không có bộ nhớ trong,” McAfee tweet. “Chiếc ví nhận được hướng dẫn của mỗi coin từ các máy chủ.”

Tính bảo mật của Bitfi dựa trên khả năng giữ tất cả các private key và các cụm từ riêng tư an toàn – vì vậy thực sự “tính bất khả xâm phạm” của nó về mặt kỹ thuật cũng giống như bất kỳ giải pháp ví trực tuyến nào khác.

Điều đáng báo động nhất là có vẻ như bộ FOTA Adups và Baidu đã đi vào hoạt động và truyền tải thông tin.

Chúng tôi đã liên lạc với một trong những nhà nghiên cứu, Cybergibbons – chuyên gia tư vấn bảo mật. Ông cho biết rằng họ đã truy cập dữ liệu thông qua một chipset Mediatek mà thiết bị này sử dụng. Chip này, một chip eMMC 8GB, tải các thư viện vào bộ nhớ trong (ROM) khi khởi động để chạy các ứng dụng. Các thiết bị đang sử dụng một chipset Mediatek, thường thì trường hợp các chipset này chạy một bộ nạp khởi động Mediatek trong vài giây đầu tiên khi chúng khởi động.

Nhóm đã sử dụng một công cụ miễn phí, SP Flash Tool, để truy cập dữ liệu và đọc nó hoàn toàn. Nhóm cho hay:

“Vấn đề là dường như thiết bị không thể bị thu nhỏ”, Cyberglip nói thêm. “Tất cả các công cụ bổ sung này khiến bạn có nguy cơ bị theo dõi, rình mò và bị tấn công mạng”.

Tối thiểu hóa, trong trường hợp này, sẽ loại bỏ phần mềm bloatware và các công cụ phần mềm độc hại. Thay vào đó, Bitfi hành xử giống như vừa mua một loạt các điện thoại Android và bán chúng ra mà không quan tâm đến việc bảo vệ dữ liệu nhạy cảm của người dùng.

Ông tiếp tục làm rõ rằng hệ thống tập tin của Bitfi là read only (chỉ đọc), có nghĩa là bất kỳ dữ liệu được lưu trữ trên thiết bị không thể bị ghi đè. Nếu những gì các nhà nghiên cứu nói là chính xác, nó có nghĩa là phần mềm gián điệp có nhiều khả năng được tải trước trên ví trước đó.

Vấn đề chính mà tin tặc phải đối diện là thiết bị này chỉ có một. Nếu họ phá vỡ nó ngay bây giờ – sẽ không có cái thứ 2.

Hiện tại, họ sẽ tiếp tục truy cập nội dung flash của thiết bị nhưng không tương tác hoàn toàn, chỉ cần đăng nhập lưu lượng mạng khi họ thăm dò thêm. Xét cho cùng, họ chỉ quan tâm đến giá trị món tiền thưởng 100,000 USD của McAfee (cộng thêm 50 USD giá trị tiền mã hóa) cho một lần hack thành công.

Chúng tôi cũng liên lạc với Bitfi nhưng vẫn chưa có hồi đáp. Trong khi nhóm vẫn chưa công bố bằng chứng đột nhập được vào thiết bị Bitfi, nhưng những phát hiện của nhóm thực sự làm nổi bật những hoài nghi của công chúng nói chung về việc lưu trữ và sử dụng tiền kỹ thuật só.

Hãy nghiên cứu kỹ trước khi bạn tin tưởng một thiết bị (hoặc một ứng dụng) với tiền của bạn – không có gì là không thể ngăn cản.

Cập nhật ngày 1 tháng 8, [08:58] Bitfi đã phản ứng trước những lời chỉ trích, cáo buộc các nhà sản xuất ví phần cứng là TrezorLedger.

“Hãy hiểu rằng ví Bitfi là một mối đe dọa lớn đối với Ledger và Trezor vì nó ám chỉ công nghệ của họ đã lỗi thời”, một phát ngôn viên của Bitfi nói với Hard Fork trong một email. “Vì vậy, họ thuê một đội quân troll để cố gắng làm hỏng danh tiếng của chúng tôi (điều đó cũng là bình thường bởi vì sự thật luôn luôn chiếm ưu thế)”.

“Hoàn toàn không có bloatware Trung Quốc nào”, người phát ngôn tiếp tục nói với Hard Fork. “Thiết bị chỉ đơn giản là có Google và Bidu [sic]. Chúng tôi sử dụng Bidu [sic] bởi vì chúng tôi có khách hàng ở Trung Quốc và Google bị chặn ở đây. Vì vậy, đối với khách hàng Trung Quốc, thiết bị sẽ chỉ đơn giản là Bidu [sic]. Đó là tất cả. Không gì có thể làm ảnh hưởng đến sự an toàn của thiết bị.”

Mặc dù có chút phản ứng nóng nảy nhưng Bitfi vẫn chưa chia sẻ code để xem xét hoặc trực tiếp giải quyết tuyên bố của các nhà nghiên cứu. Nhưng như đã được nói từ đầu, không có gì là bất khả xâm phạm.

Xem thêm:

Theo TapchiBitcoin/TheNextWeb

MỚI CẬP NHẬT

Nghiên cứu: 76% người có sức ảnh hưởng trên X đã quảng bá memecoin...

Một nghiên cứu mới từ Coinwire tiết lộ rằng, hầu hết những người có sức ảnh hưởng (influencer) trong không gian crypto trên X...

Giá XRP tăng vọt lên mức cao nhất trong 3 năm khi lạc quan...

Khi Chủ tịch Ủy ban Chứng khoán và Giao dịch (SEC), ông Gary Gensler, chuẩn bị từ chức, một loại tiền điện tử từng...
apple

Apple thừa nhận lỗ hổng bảo mật khiến người dùng crypto bị lộ thông...

Vào thứ 2, Apple xác nhận các thiết bị của hãng đang đối mặt với nguy cơ bị exploit (tấn công khai thác) để...
Bitcoin

Dự trữ Bitcoin sẽ không giải quyết được khủng hoảng nợ của Hoa Kỳ

Theo Chủ tịch của một nhóm nghiên cứu phi lợi nhuận, kế hoạch thiết lập quỹ dự trữ Bitcoin chiến lược của Thượng nghị...

Token Ethena (ENA) tăng mạnh sau khi Deribit tích hợp USDe

Deribit, một trong những sàn giao dịch phái sinh crypto lớn nhất thế giới, có kế hoạch tích hợp USDe của Ethena làm tài...
phân tích kỹ thuật

Phân tích kỹ thuật tối ngày 22 tháng 11: XRP, ADA, OP, SOL và...

Tuần này, chúng ta sẽ xem xét chi tiết về Ripple (XRP), Cardano (ADA), Optimism (OP), Solana (SOL) và Dogecoin (DOGE). Phân tích kỹ thuật...
tiền điện tử

Khối lượng giao dịch tiền điện tử liên tiếp thiết lập kỷ lục vào...

Khối lượng giao dịch tiền điện tử hàng ngày trên các sàn giao dịch đã đạt mức cao nhất trong 12 tháng là 117...
eth

CryptoQuant: OI hợp đồng tương lai ETH đạt mức cao kỷ lục mới hơn...

Thị trường phái sinh Ethereum (ETH) có lẽ đang báo hiệu động lực tăng giá khi hợp đồng mở (OI)* hợp đồng tương lai...

Texas đang thảo luận về dự luật dự trữ chiến lược Bitcoin

Theo thông tin từ nhóm vận động phi lợi nhuận Satoshi Action Fund (SAF), dự luật dự trữ chiến lược Bitcoin đang được thảo...

Tin vắn Crypto 22/11: Bitcoin mới chỉ bắt đầu giai đoạn parabol trong chu...

Từ nhận định Bitcoin "mới chỉ bắt đầu giai đoạn parabol trong chu kỳ hiện tại" đến CFPB loại ví tiền điện tử ra...

Mùa Altcoin đầy sôi động: Đừng bỏ lỡ cơ hội đầu tư vào các...

Thị trường tiền điện tử vài tuần gần đây liên tục ghi nhận đà tăng trưởng bùng nổ mạnh mẽ. Đồng Bitcoin (BTC) gần...

Tập đoàn Charles Schwab cân nhắc giao dịch crypto, tân CEO ‘cảm thấy ngớ...

Charles Schwab, một trong những tập đoàn tài chính lớn nhất Hoa Kỳ, có kế hoạch tham gia thị trường crypto giao ngay khi...

Giá Popcat giảm mạnh, CatSlap bùng nổ ngày ra mắt. Meme coin hệ mèo...

Hãy quên Popcat đi! Một meme coin mới có tên CatSlap ($SLAP) vừa chính thức ra mắt và nhanh chóng trở thành cái tên...
Sandeep Nailwal của Polygon cảnh báo Rug Pulls memecoin

Các vụ kéo thảm memecoin như QUANT có thể thu hút sự đàn áp...

Sandeep Nailwal, đồng sáng lập mạng Ethereum layer-2 Polygon, cảnh báo rằng sự gia tăng các vụ lừa đảo liên quan đến memecoin có...

Các vụ kiện của SEC sẽ “âm thầm khép lại” sau khi Gensler từ...

Nhiều vụ kiện liên quan đến chứng khoán nhằm vào các công ty crypto tại Hoa Kỳ có khả năng sẽ “âm thầm khép...

[QC] Dogizen, ICO Đầu Tiên Trên Telegram, Thu Hút Được 1,4 Triệu USD Khi...

Trong thời gian ngắn, Dogizen đã thu hút sự chú ý trên khắp thế giới tiền điện tử, huy động được hơn 1,4 triệu...