Trang chủ Tạp chí Tin tức Scam -Hack Phương pháp ‘Dark Skippy’ có thể đánh cắp khóa ví cứng Bitcoin

Phương pháp ‘Dark Skippy’ có thể đánh cắp khóa ví cứng Bitcoin

Các nhà nghiên cứu bảo mật đã phát hiện ra một phương pháp mới đáng lo ngại mà hacker có thể sử dụng để lấy cắp khóa riêng từ ví cứng Bitcoin ngay cả khi chỉ với hai giao dịch đã được ký, phương pháp này được họ đặt tên là “Dark Skippy.”

Lỗ hổng này có thể ảnh hưởng đến tất cả các mẫu ví cứng – mặc dù nó chỉ hoạt động nếu kẻ tấn công lừa được nạn nhân tải về phần mềm độc hại.

Phiên bản trước của phương pháp này yêu cầu nạn nhân phải đăng “hàng chục” giao dịch lên blockchain. Nhưng phiên bản “Dark Skippy” mới có thể được thực hiện ngay cả khi nạn nhân chỉ đăng một vài giao dịch lên blockchain. Ngoài ra, cuộc tấn công này có thể được thực hiện ngay cả khi người dùng sử dụng một thiết bị riêng biệt để tạo ra các từ hạt giống (seed words).

Báo cáo tiết lộ được công bố bởi Lloyd Fournier, Nick Farrow và Robin Linus vào ngày 5 tháng 8. Fournier và Farrow là đồng sáng lập của nhà sản xuất ví cứng Frostsnap, trong khi Linus là đồng phát triển của các giao thức Bitcoin ZeroSync và BitVM.

Theo báo cáo, phần mềm ví cứng có thể được lập trình để nhúng một phần các từ hạt giống của người dùng vào “các nonce bí mật có độ entropy thấp” và sau đó được sử dụng để ký các giao dịch. Các chữ ký thu được sẽ được đăng lên blockchain khi giao dịch được xác nhận. Kẻ tấn công sau đó có thể quét blockchain để tìm và ghi lại những chữ ký này.

Các chữ ký thu được chỉ chứa “các nonce công khai,” không phải là phần từ hạt giống. Tuy nhiên, kẻ tấn công có thể nhập các nonce công khai này vào Thuật toán Kangaroo của Pollard để tính toán thành công các nonce bí mật từ phiên bản công khai của chúng.

Thuật toán Kangaroo của Pollard, được phát hiện bởi nhà toán học John M. Pollard, là một thuật toán trong đại số tính toán có thể được sử dụng để giải quyết vấn đề logarit rời rạc.

Theo các nhà nghiên cứu, toàn bộ bộ từ hạt giống của người dùng có thể được suy ra bằng phương pháp này, ngay cả khi người dùng chỉ tạo ra hai chữ ký từ thiết bị bị xâm nhập của họ và ngay cả khi các từ hạt giống được tạo ra trên một thiết bị riêng biệt.

Các phiên bản trước của lỗ hổng này đã được ghi nhận trong quá khứ, các nhà nghiên cứu cho biết. Tuy nhiên, các phiên bản cũ này dựa trên “nonce grinding,” một quy trình chậm hơn nhiều đòi hỏi nhiều giao dịch hơn được đăng lên blockchain. Dù vậy, các nhà nghiên cứu không gọi Dark Skippy là một lỗ hổng mới, mà thay vào đó cho rằng đây là “một cách mới để khai thác một lỗ hổng đã tồn tại.”

Để giảm thiểu mối đe dọa, báo cáo đề nghị các nhà sản xuất ví cứng cần đặc biệt chú ý ngăn chặn phần mềm độc hại xâm nhập vào thiết bị của người dùng, điều này có thể được thực hiện thông qua các tính năng như “khởi động an toàn và khóa giao diện JTAG/SWD […], xây dựng phần mềm được ký bởi nhà cung cấp […], [và] các tính năng bảo mật khác.” Ngoài ra, báo cáo gợi ý rằng người dùng ví có thể áp dụng các biện pháp để bảo vệ thiết bị của họ, bao gồm “nơi bí mật, két an toàn cá nhân, hoặc thậm chí túi chống giả mạo,” mặc dù báo cáo cũng lưu ý rằng các biện pháp này có thể “phiền phức.”

Các kỹ thuật giảm thiểu Dark Skippy | Nguồn: Dark Skippy.

Một gợi ý khác là phần mềm ví nên sử dụng các giao thức ký “chống xâm nhập,” ngăn chặn ví cứng tự tạo ra nonce.

Các lỗ hổng ví Bitcoin đã gây ra thiệt hại đáng kể cho người dùng trong quá khứ. Vào tháng 8 năm 2023, công ty an ninh mạng Slowmist báo cáo rằng hơn 900.000 đô la Bitcoin đã bị đánh cắp qua một lỗi trong thư viện Libbitcoin explorer. Vào tháng 11, Unciphered báo cáo rằng 2,1 tỷ đô la Bitcoin được giữ trong các ví cũ có thể đang gặp nguy hiểm vì lỗi trong phần mềm ví BitcoinJS.

Tham gia Telegram: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Vương Tiễn

Theo Cointelegraph

MỚI CẬP NHẬT

Nhà đồng sáng lập Sky đề xuất cơ chế giảm phát cho token cốt...

Rune Christensen, đồng sáng lập của Sky (trước đây là MakerDAO), cho biết ông đang chuẩn bị đề xuất về "tokennomics giảm phát nghiêm...

Các sản phẩm đầu tư crypto ghi nhận dòng tiền chảy vào hàng năm...

Theo CoinShares, các quỹ crypto toàn cầu do các công ty quản lý tài sản như BlackRock, Bitwise, Fidelity, Grayscale, ProShares và 21Shares điều...

Gã khổng lồ viễn thông lớn nhất châu Âu sẽ thử nghiệm khai thác...

MMS, công ty con của Deutsche Telekom, nhà cung cấp viễn thông lớn nhất châu Âu, đang hợp tác với Bankhaus Metzler để thử nghiệm...

3 sự kiện quan trọng sẽ tác động đến thị trường tiền điện tử...

Thị trường tiền điện tử dự kiến ​​sẽ có biến động mạnh trong tuần này khi mọi sự chú ý đổ dồn vào cuộc...
altcoin

Đại kết cục của Altcoin sắp diễn ra: Nhà đầu tư cần chuẩn bị...

Theo một trader, altcoin có thể sẽ phải chịu nhiều đau đớn hơn trước khi có bất kỳ khoản lợi nhuận nào và dự...
Harris đánh bại Biden, tụt hậu so với Trump về chính sách tiền điện tử

Bitcoin có thể giảm xuống còn 50.000 USD nếu Kamala Harris thắng cử: Bernstein

Các nhà phân tích tại công ty nghiên cứu và môi giới Bernstein đã đưa ra dự đoán rằng giá Bitcoin có thể đạt...

Solana ghi nhận hơn 123 triệu địa chỉ hoạt động trên mạng vào tháng...

Solana đã ghi nhận số lượng địa chỉ hoạt động hàng tháng cao nhất từ trước đến nay, với hơn 123 triệu địa chỉ...
coinbase

Drama niêm yết token: Sun và Cronje khẳng định Binance miễn phí, cáo buộc...

Một số sàn giao dịch lớn nhất được cho là yêu cầu đến hàng trăm triệu đô la để niêm yết token mới. Theo nhà...

Dogecoin hướng tới mức vốn hóa thị trường 25 tỷ đô la – Thị...

 Mấy ngày qua, Dogecoin lại đang trở thành tâm điểm của cộng đồng đầu tư tiền điện tử toàn thế giới, khi vị tỷ...

Tin vắn Crypto 04/11: Bitcoin đang chuẩn bị cho đợt tăng mới hướng tới...

Từ nhận định Bitcoin đang chuẩn bị cho đợt tăng mới hướng tới ATH đến Kraken ra mắt bộ sản phẩm phái sinh mới...

Đài Loan chuẩn bị tăng cường giám sát việc niêm yết tiền điện tử

Cơ quan Giám sát Tài chính Đài Loan (FSC) đang chuẩn bị công bố một loạt tiêu chí mới liên quan đến việc niêm...
Ethereum giống như ‘Amazon trong những năm 1990’

21Shares: Ethereum giống như ‘Amazon những năm 1990’

Các nhà đầu tư trên Phố Wall vẫn chưa thực sự nhận thấy tiềm năng của Ethereum, giống như Amazon vào đầu những năm...

Tether không có kế hoạch xây dựng blockchain vào thời điểm này: CEO Paolo...

Paolo Ardoino, CEO Tether, đã bác bỏ những đồn đoán về việc phát triển blockchain chính thức, nhấn mạnh rằng “Tether không có kế hoạch...

Tài khoản X của rapper Wiz Khalifa bị hack để quảng bá memecoin giả...

Tài khoản X của rapper Wiz Khalifa được cho là đã bị hack vào ngày 3 tháng 11 và đăng một thông điệp quảng...

Hồng Kông chuẩn bị cho quy định mới về stablecoin – Circle dự kiến...

Chính quyền Hồng Kông đang chuẩn bị trình dự thảo khuôn khổ quản lý cho các đơn vị phát hành stablecoin lên Hội đồng...

Top 10 đồng tiền điện tử tăng giá mạnh nhất trong quý 3 năm...

Quý 3 là quý đầy biến động đối với tiền điện tử, khi Bitcoin tăng từ 57.000 đô la lên gần 70.000 đô la trước khi...