Trên trang chủ của trang web của ví bitfi, thật khó để bỏ lỡ những từ này do chủ tịch của công ty, John McAfee đưa ra: “Kho lưu trữ không thể hack đầu tiên trên thế giới đối với tiền mật mã và tài sản kỹ thuật số.”
Nhưng lần thứ ba, sự an toàn của chiếc ví phần cứng đã bị tổn hại nghiêm trọng. Trong vụ việc gần đây nhất theo Hard Fork, các nhà nghiên cứu bảo mật tại Pen Test Partners đã có thể gửi các giao dịch đã ký bằng Bitfi qua đó hoàn thành một yêu cầu quan trọng đối với chương trình tiền thưởng của chiếc ví cứng.
“Vâng, đó là một giao dịch được thực hiện với một MitMed Bitfi, được gửi đến một máy từ xa,” Andrew Tierney, một nhà tư vấn bảo mật tại Pen Test Partners, đã viết trên Twitter. “Có vẻ tiền thưởng lần 2 này sẽ thuộc về chúng tôi.”
Ba điều kiện để giành tiền thưởng
So với chương trình tiền thưởng ban đầu của Bitfi với trị giá 250.000 đô la Mỹ, chương trình tiền thưởng thứ hai tương đối ít ỏi chỉ với 10.000 đô la Mỹ. Để giành được tiền thưởng thứ hai, các quy tắc bao gồm sửa đổi chương trình cơ sở của phần cứng và sau đó kết nối với bảng điều khiển Bitfi. Điều kiện cuối cùng được đáp ứng liên quan đến việc đảm bảo rằng cụm từ bí mật của người dùng hoặc khóa riêng của họ được truyền tới bên thứ ba trong khi vẫn đảm bảo rằng bảng điều khiển Bitfi tiếp tục hoạt động bình thường.
Per Tierney, nhóm nghiên cứu đã có thể thay đổi đáng kể firmware và do đó chặn liên lạc giữa thiết bị phần cứng và ví. Và để chứng minh rằng thiết bị vẫn được kết nối với bảng điều khiển và hoạt động hoàn hảo, các nhà nghiên cứu đã hiển thị thông báo trên màn hình.
Nỗ lực đồng đội
Theo Tierney, việc hack ví phần cứng liên quan đến tinh thần đồng đội với nhiều cá nhân và tổ chức khác nhau có những đóng góp khác nhau.
Theo CCN gần đây, thiết bị đã được root (truy cập quản trị viên hoặc đặc quyền) vào đầu tháng này bởi một chuyên gia bảo mật thông tin, người đã tìm thấy một bộ ứng dụng bao gồm GPS và Wi-Fi trackers. Đây được coi là một vấn đề an ninh nghiêm trọng vì các ứng dụng theo dõi được phát hiện là kết nối với các dịch vụ web khác nhau bao gồm Baidu, dịch vụ tìm kiếm trực tuyến hàng đầu của Trung Quốc.
Chưa đầy mười ngày sau, Saleem Rashid, 15 tuổi, một thần đồng hack, đã có thể cài đặt ứng dụng chơi game Doom trên thiết bị. Điều này làm dấy lên lo ngại rằng với lớp bảo vệ giả mạo yếu hoặc không tồn tại, các tác nhân độc hại có thể dễ dàng cài đặt phần mềm độc hại để thao túng các hoạt động của ví. Ngoài ra, có những lo ngại rằng với quyền truy cập root thiết bị có thể dễ dàng được lập trình lại.
Phản ứng của Bitfi đối với toàn bộ câu chuyện đã dẫn đến một loạt các sai lầm và điều tiếng xấu về công ty. Kết quả là, công ty gần đây đã giành được giải thưởng Pwnie cho Giải thưởng Lamest Vendor nhất trong hội nghị BlackHat USA được tổ chức tại Las Vegas, Nevada.
Hacker 15 tuổi chơi game DOOM trên ví crypto “không thể hack” của John McAfee
