Trang chủ Tạp chí Tin tức Scam -Hack Phương pháp ‘Dark Skippy’ có thể đánh cắp khóa ví cứng Bitcoin

Phương pháp ‘Dark Skippy’ có thể đánh cắp khóa ví cứng Bitcoin

Các nhà nghiên cứu bảo mật đã phát hiện ra một phương pháp mới đáng lo ngại mà hacker có thể sử dụng để lấy cắp khóa riêng từ ví cứng Bitcoin ngay cả khi chỉ với hai giao dịch đã được ký, phương pháp này được họ đặt tên là “Dark Skippy.”

Lỗ hổng này có thể ảnh hưởng đến tất cả các mẫu ví cứng – mặc dù nó chỉ hoạt động nếu kẻ tấn công lừa được nạn nhân tải về phần mềm độc hại.

Phiên bản trước của phương pháp này yêu cầu nạn nhân phải đăng “hàng chục” giao dịch lên blockchain. Nhưng phiên bản “Dark Skippy” mới có thể được thực hiện ngay cả khi nạn nhân chỉ đăng một vài giao dịch lên blockchain. Ngoài ra, cuộc tấn công này có thể được thực hiện ngay cả khi người dùng sử dụng một thiết bị riêng biệt để tạo ra các từ hạt giống (seed words).

Báo cáo tiết lộ được công bố bởi Lloyd Fournier, Nick Farrow và Robin Linus vào ngày 5 tháng 8. Fournier và Farrow là đồng sáng lập của nhà sản xuất ví cứng Frostsnap, trong khi Linus là đồng phát triển của các giao thức Bitcoin ZeroSync và BitVM.

Theo báo cáo, phần mềm ví cứng có thể được lập trình để nhúng một phần các từ hạt giống của người dùng vào “các nonce bí mật có độ entropy thấp” và sau đó được sử dụng để ký các giao dịch. Các chữ ký thu được sẽ được đăng lên blockchain khi giao dịch được xác nhận. Kẻ tấn công sau đó có thể quét blockchain để tìm và ghi lại những chữ ký này.

Các chữ ký thu được chỉ chứa “các nonce công khai,” không phải là phần từ hạt giống. Tuy nhiên, kẻ tấn công có thể nhập các nonce công khai này vào Thuật toán Kangaroo của Pollard để tính toán thành công các nonce bí mật từ phiên bản công khai của chúng.

Thuật toán Kangaroo của Pollard, được phát hiện bởi nhà toán học John M. Pollard, là một thuật toán trong đại số tính toán có thể được sử dụng để giải quyết vấn đề logarit rời rạc.

Theo các nhà nghiên cứu, toàn bộ bộ từ hạt giống của người dùng có thể được suy ra bằng phương pháp này, ngay cả khi người dùng chỉ tạo ra hai chữ ký từ thiết bị bị xâm nhập của họ và ngay cả khi các từ hạt giống được tạo ra trên một thiết bị riêng biệt.

Các phiên bản trước của lỗ hổng này đã được ghi nhận trong quá khứ, các nhà nghiên cứu cho biết. Tuy nhiên, các phiên bản cũ này dựa trên “nonce grinding,” một quy trình chậm hơn nhiều đòi hỏi nhiều giao dịch hơn được đăng lên blockchain. Dù vậy, các nhà nghiên cứu không gọi Dark Skippy là một lỗ hổng mới, mà thay vào đó cho rằng đây là “một cách mới để khai thác một lỗ hổng đã tồn tại.”

Để giảm thiểu mối đe dọa, báo cáo đề nghị các nhà sản xuất ví cứng cần đặc biệt chú ý ngăn chặn phần mềm độc hại xâm nhập vào thiết bị của người dùng, điều này có thể được thực hiện thông qua các tính năng như “khởi động an toàn và khóa giao diện JTAG/SWD […], xây dựng phần mềm được ký bởi nhà cung cấp […], [và] các tính năng bảo mật khác.” Ngoài ra, báo cáo gợi ý rằng người dùng ví có thể áp dụng các biện pháp để bảo vệ thiết bị của họ, bao gồm “nơi bí mật, két an toàn cá nhân, hoặc thậm chí túi chống giả mạo,” mặc dù báo cáo cũng lưu ý rằng các biện pháp này có thể “phiền phức.”

Các kỹ thuật giảm thiểu Dark Skippy | Nguồn: Dark Skippy.

Một gợi ý khác là phần mềm ví nên sử dụng các giao thức ký “chống xâm nhập,” ngăn chặn ví cứng tự tạo ra nonce.

Các lỗ hổng ví Bitcoin đã gây ra thiệt hại đáng kể cho người dùng trong quá khứ. Vào tháng 8 năm 2023, công ty an ninh mạng Slowmist báo cáo rằng hơn 900.000 đô la Bitcoin đã bị đánh cắp qua một lỗi trong thư viện Libbitcoin explorer. Vào tháng 11, Unciphered báo cáo rằng 2,1 tỷ đô la Bitcoin được giữ trong các ví cũ có thể đang gặp nguy hiểm vì lỗi trong phần mềm ví BitcoinJS.

Tham gia Telegram: https://t.me/tapchibitcoinvn

Theo dõi Twitter (X): https://twitter.com/tapchibtc_io

Theo dõi Tiktok: https://www.tiktok.com/@tapchibitcoin

Vương Tiễn

Theo Cointelegraph

MỚI CẬP NHẬT

Uniswap DAO ủng hộ chương trình ‘Treasury Delegation’ trị giá 113 triệu USD để...

Theo cuộc bỏ phiếu quản trị sơ bộ kết thúc vào hôm thứ Ba, Uniswap DAO đã bỏ phiếu để tiếp tục "chương trình...
eth-phuc-hoi

Ethereum (ETH) nỗ lực phục hồi khi đà giảm đang dần suy yếu

Ethereum (ETH) bước vào tuần mới với những tín hiệu trái ngược khi các trader đón nhận thông báo thuế "Ngày Giải Phóng" vào...
Metaplanet tiếp tục đẩy mạnh chiến lược tích lũy Bitcoin

Metaplanet tiếp tục đẩy mạnh chiến lược tích lũy Bitcoin, nâng tổng số nắm...

Metaplanet, công ty niêm yết tại Tokyo, vừa công bố vào thứ Tư rằng họ đã bổ sung thêm 160 Bitcoin vào kho dự...
NEO

Neo Foundation phủ nhận việc bán token, điều tra chuyển khoản Binance sau khi...

Neo Foundation khẳng đinh không dính líu đến các giao dịch bán token NEO gần đây, sau khi giá trị giảm 35,85% từ ngày...

Nhiều altcoin sụp đổ vào ngày Cá tháng Tư, thị trường crypto vẫn ổn...

Một số altcoin và memecoin đã chứng kiến ​​đợt bán tháo mạnh vào Ngày Cá tháng Tư, với một số token, bao gồm Act...
sui-kho-khan

SUI gặp khó khăn dưới mức kháng cự khi mở khóa token trị giá...

Hôm nay, SUI đứng trước một thử thách quan trọng khi đợt mở khóa token trị giá 147 triệu USD có thể tạo ra...
Bitcoin như một hàng rào chống lạm phát

Standard Chartered báo hiệu vai trò của Bitcoin như một hàng rào chống lạm...

Bitcoin đang nổi lên như một hàng rào phòng ngừa lạm phát đầy tiềm năng trong bối cảnh thị trường ngày càng bất ổn....

Solana (SOL) phục hồi chậm lại gần mức kháng cự khi Ethereum tăng khối...

Solana (SOL) đang nỗ lực phục hồi sau đợt điều chỉnh gần 12% trong tuần qua với chỉ số RSI đã tăng vọt vào...

VanEck đăng ký BNB ETF đầu tiên tại Hoa Kỳ

Công ty quản lý đầu tư hàng đầu của Mỹ, VanEck, vừa chính thức nộp hồ sơ thành lập một thực thể ủy thác...
btc-bien-dong-manh

Bitcoin (BTC) biến động mạnh trước ‘ngày giải phóng’ của Trump – Điều gì...

Bitcoin tiếp tục biến động mạnh trong phiên mở cửa Phố Wall ngày 1 tháng 4 khi những lo ngại về thuế quan thương...

Ethereum ghi nhận chuỗi giảm giá kéo dài, nhưng dữ liệu chỉ ra đáy...

Token gốc của Ethereum, Ether (ETH), đã trải qua bốn tháng giảm liên tiếp, với mức giảm 18,47% chỉ riêng trong tháng 3. Cấu...

GameStop huy động thành công 1,5 tỷ USD để mua Bitcoin

Nhà bán lẻ trò chơi điện tử GameStop thông báo hôm thứ Ba rằng họ đã huy động được 1,5 tỷ USD từ đợt...

Grayscale nộp hồ sơ S-3 cho ETF Digital Large Cap

Nhà quản lý tài sản hàng đầu Grayscale đã nộp đơn xin niêm yết quỹ ETF nắm giữ một danh mục tiền điện tử...
tiền điện tử

Tương lai của tiền điện tử: 10 dự đoán và xu hướng

Tiền điện tử đã đi một chặng đường dài kể từ khi Satoshi Nakamoto bí ẩn ra mắt Bitcoin vào năm 2009. Từ một...

Tại sao cổ phiếu Strategy lại vượt trội hơn so với Bitcoin?

Một công ty đầu tư của Pháp đã công bố bài báo nghiên cứu định lượng giải thích lý do tại sao cổ phiếu...

Bitcoin có thể cán mốc $250.000 trong năm nay: Arthur Hayes

Cựu CEO BitMEX, Arthur Hayes, vừa đưa ra một dự đoán táo bạo: Bitcoin có thể đạt 250.000 USD vào cuối năm nay. Theo...