Trang chủ Tạp chí Tin tức Scam -Hack Phương pháp ‘Dark Skippy’ có thể đánh cắp khóa ví cứng Bitcoin

Phương pháp ‘Dark Skippy’ có thể đánh cắp khóa ví cứng Bitcoin

Các nhà nghiên cứu bảo mật đã phát hiện ra một phương pháp mới đáng lo ngại mà hacker có thể sử dụng để lấy cắp khóa riêng từ ví cứng Bitcoin ngay cả khi chỉ với hai giao dịch đã được ký, phương pháp này được họ đặt tên là “Dark Skippy.”

Lỗ hổng này có thể ảnh hưởng đến tất cả các mẫu ví cứng – mặc dù nó chỉ hoạt động nếu kẻ tấn công lừa được nạn nhân tải về phần mềm độc hại.

Phiên bản trước của phương pháp này yêu cầu nạn nhân phải đăng “hàng chục” giao dịch lên blockchain. Nhưng phiên bản “Dark Skippy” mới có thể được thực hiện ngay cả khi nạn nhân chỉ đăng một vài giao dịch lên blockchain. Ngoài ra, cuộc tấn công này có thể được thực hiện ngay cả khi người dùng sử dụng một thiết bị riêng biệt để tạo ra các từ hạt giống (seed words).

Báo cáo tiết lộ được công bố bởi Lloyd Fournier, Nick Farrow và Robin Linus vào ngày 5 tháng 8. Fournier và Farrow là đồng sáng lập của nhà sản xuất ví cứng Frostsnap, trong khi Linus là đồng phát triển của các giao thức Bitcoin ZeroSync và BitVM.

Theo báo cáo, phần mềm ví cứng có thể được lập trình để nhúng một phần các từ hạt giống của người dùng vào “các nonce bí mật có độ entropy thấp” và sau đó được sử dụng để ký các giao dịch. Các chữ ký thu được sẽ được đăng lên blockchain khi giao dịch được xác nhận. Kẻ tấn công sau đó có thể quét blockchain để tìm và ghi lại những chữ ký này.

Các chữ ký thu được chỉ chứa “các nonce công khai,” không phải là phần từ hạt giống. Tuy nhiên, kẻ tấn công có thể nhập các nonce công khai này vào Thuật toán Kangaroo của Pollard để tính toán thành công các nonce bí mật từ phiên bản công khai của chúng.

Thuật toán Kangaroo của Pollard, được phát hiện bởi nhà toán học John M. Pollard, là một thuật toán trong đại số tính toán có thể được sử dụng để giải quyết vấn đề logarit rời rạc.

Theo các nhà nghiên cứu, toàn bộ bộ từ hạt giống của người dùng có thể được suy ra bằng phương pháp này, ngay cả khi người dùng chỉ tạo ra hai chữ ký từ thiết bị bị xâm nhập của họ và ngay cả khi các từ hạt giống được tạo ra trên một thiết bị riêng biệt.

Các phiên bản trước của lỗ hổng này đã được ghi nhận trong quá khứ, các nhà nghiên cứu cho biết. Tuy nhiên, các phiên bản cũ này dựa trên “nonce grinding,” một quy trình chậm hơn nhiều đòi hỏi nhiều giao dịch hơn được đăng lên blockchain. Dù vậy, các nhà nghiên cứu không gọi Dark Skippy là một lỗ hổng mới, mà thay vào đó cho rằng đây là “một cách mới để khai thác một lỗ hổng đã tồn tại.”

Để giảm thiểu mối đe dọa, báo cáo đề nghị các nhà sản xuất ví cứng cần đặc biệt chú ý ngăn chặn phần mềm độc hại xâm nhập vào thiết bị của người dùng, điều này có thể được thực hiện thông qua các tính năng như “khởi động an toàn và khóa giao diện JTAG/SWD […], xây dựng phần mềm được ký bởi nhà cung cấp […], [và] các tính năng bảo mật khác.” Ngoài ra, báo cáo gợi ý rằng người dùng ví có thể áp dụng các biện pháp để bảo vệ thiết bị của họ, bao gồm “nơi bí mật, két an toàn cá nhân, hoặc thậm chí túi chống giả mạo,” mặc dù báo cáo cũng lưu ý rằng các biện pháp này có thể “phiền phức.”

Các kỹ thuật giảm thiểu Dark Skippy | Nguồn: Dark Skippy.

Một gợi ý khác là phần mềm ví nên sử dụng các giao thức ký “chống xâm nhập,” ngăn chặn ví cứng tự tạo ra nonce.

Các lỗ hổng ví Bitcoin đã gây ra thiệt hại đáng kể cho người dùng trong quá khứ. Vào tháng 8 năm 2023, công ty an ninh mạng Slowmist báo cáo rằng hơn 900.000 đô la Bitcoin đã bị đánh cắp qua một lỗi trong thư viện Libbitcoin explorer. Vào tháng 11, Unciphered báo cáo rằng 2,1 tỷ đô la Bitcoin được giữ trong các ví cũ có thể đang gặp nguy hiểm vì lỗi trong phần mềm ví BitcoinJS.

Tham gia Telegram: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Vương Tiễn

Theo Cointelegraph

MỚI CẬP NHẬT

Solana vượt $260 để đạt mức giá cao nhất mọi thời đại mới sau...

Sau ba năm dài, Solana đã chính thức vượt qua mức giá cao nhất mọi thời đại, thiết lập cột mốc mới trên 260 USD...

CEO Galaxy Digital cho rằng việc Bitcoin đạt $100.000 chỉ là “mới bắt đầu”

Mike Novogratz, CEO của Galaxy Digital, tin rằng mức giá $100.000 của Bitcoin chỉ mới là "bắt đầu" đối với vua tiền điện tử...
rektcoin-aidrop-chay-hang

Rekt Coin ra mắt cùng airdrop sau khi Rekt Drink cháy hàng

Rekt Brands vừa thông báo rằng token của họ, REKT, sẽ chính thức ra mắt vào lúc 17 giờ chiều thứ Sáu (giờ Việt...

Dự đoán giá Cardano (ADA) cho tháng 11 năm 2024

Bên cạnh mức tăng ấn tượng gần 50% trong tuần qua để quay lại Top 10 đồng coin lớn nhất thị trường, Cardano (ADA) đang...

Hội đồng cố vấn tiền điện tử do Trump đề xuất có thể thành...

Hội đồng Cố vấn Tiền điện tử do Tổng thống đắc cử Donald Trump đề xuất có thể thành lập một quỹ dự trữ...

Giá Coin hôm nay 22/11: Bitcoin lập đỉnh mới trên $99.000, altcoin và phố...

Bitcoin tiếp tục lập đỉnh mới tại $99.014 sau khi tăng vọt hơn 4% trong ngày hôm qua. Chứng khoán Mỹ Hợp đồng futures trên thị...

FTX kỳ vọng kế hoạch tái cấu trúc sẽ có hiệu lực vào tháng...

Sàn giao dịch FTX, sau khi nộp đơn xin phá sản vào năm 2022, hôm nay thông báo rằng kế hoạch tái cấu trúc...

SEC đang tham gia với các đơn vị đăng ký ETF Solana

Triển vọng cho các quỹ ETF Solana giao ngay đang có những bước tiến đáng kể, khi Ủy ban Chứng khoán và Giao dịch...
MicroStrategy hoàn tất việc huy động 3 tỷ đô la để mua thêm Bitcoin khi MSTR giảm 25%

MicroStrategy hoàn tất việc huy động 3 tỷ đô la để mua thêm Bitcoin

MicroStrategy (MSTR) hoàn tất đợt phát hành trái phiếu chuyển đổi 3 tỷ USD với lãi suất 0%, đáo hạn vào tháng 12/2029, dự...

Tài sản ròng của các quỹ Bitcoin ETF tại Hoa Kỳ chính thức vượt...

Các quỹ Bitcoin ETF của Hoa Kỳ đã phá vỡ 100 tỷ đô la tài sản ròng lần đầu tiên vào ngày 21 tháng...

47 tỷ USD BTC có thể chảy vào Bitcoin L2 vào năm 2030 –...

Bộ phận nghiên cứu của Galaxy Digital ước tính rằng khoảng 47 tỷ USD thanh khoản Bitcoin có thể được chuyển vào mạng lưới...

Chỉ số memecoin tăng vọt khi các đợt niêm yết mới tiếp tục thúc...

Lĩnh vực memecoin dẫn đầu đà tăng trưởng thị trường trong tuần qua giữa xu hướng tăng giá rộng rãi. Chỉ số GMMEME, tăng 3,94%,...

Chủ tịch SEC Gary Gensler chính thức thông báo sẽ từ chức

Chủ tịch Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) Gary Gensler, nổi tiếng với lập trường cứng rắn về quy định...
hack

Hoa Kỳ buộc tội 5 thủ phạm trong âm mưu hack 11 triệu đô...

Các công tố viên Hoa Kỳ vừa buộc tội 5 người thuộc một nhóm tội phạm đã tham gia hack hàng chục doanh nghiệp...
Kẻ lừa đảo trên Coinbase tuyên bố kiếm được 5 con số mỗi tuần

Kẻ lừa đảo Coinbase tuyên bố kiếm được 5 con số một tuần nhắm...

Các nhóm lừa đảo phishing trong lĩnh vực crypto đang kiếm được thu nhập đáng kinh ngạc, lên đến năm con số hàng tuần,...
Bitcoin

MARA Holdings hoàn tất đợt chào bán nợ 1 tỷ đô la để mua...

Vào thứ 5, MARA Holdings thông báo đã hoàn tất đợt chào bán 1 tỷ đô la tín phiếu kỳ hạn đến 10 năm...