Trang chủ Tạp chí Trezor và Ledger phản hồi lại các tuyên bố về vấn đề...

Trezor và Ledger phản hồi lại các tuyên bố về vấn đề bảo mật

Ba nhà nghiên cứu và kỹ sư đã có một bài trình bày tại sự kiện Chaos Communication Congress lần thứ 35 trong đó tiết lộ các lỗ hổng bảo mật trong các ví phần cứng tiền mã hóa. Trezor và Ledger đã trả lời ngắn gọn rằng số dư tiền mã hóa của người dùng của họ là an toàn.

Dmitry Nedospasov, Thomas Roth và Josh Datko, đã tạo ra trang web wallet.fail và hứa sẽ xuất bản trực tuyến bài trình bày của họ trong Chaos Communication Congress sau sự kiện này. Trong vòng 24 giờ, các tuyên bố của nhà nghiên cứu đã được công bố và hai nhà sản xuất ví phần cứng hàng đầu đã phản hồi.

Ledger cho biết tài sản tiền mã hóa trong ví vẫn được bảo mật

Ledger đã phản hồi tất cả với một bài đăng trên blog nói rằng mặc dù họ rất vui khi thấy mọi người thách thức tính bảo mật của hãng nhưng:

“Họ đã trình bày 3 hướng tấn công có thể gây ấn tương với việc các lỗ hổng nghiêm trọng đã bị phát hiện trên các thiết bị Ledger. Đây không phải là trường hợp”.

Mặc dù các nhà nghiên cứu nói rằng tất cả họ đều yêu thích tiền mã hóa và bản thân họ đều sở hữu tiền mã hóa nhưng Ledger cũng có vẻ hơi thất vọng khi nói thêm rằng:

“Trong thế giới bảo mật, cách thông thường để tiến hành là tiết lộ có trách nhiệm. Chúng tôi rất tiếc vì các nhà nghiên cứu đã không tuân theo các nguyên tắc bảo mật tiêu chuẩn được nêu trong chương trình Bounty của Ledger”.

Ledger cũng tin rằng ba nhà nghiên cứu đã không cung cấp các lỗ hổng thực tế trên mạng.

Đầu tiên, các nhà nghiên cứu đã thực hiện một cuộc tấn công để sửa đổi ví tiền vật lý và sử dụng phần mềm độc hại trên PC của chủ sở hữu tiền mã hóa kết hợp với một kẻ tấn công tiềm năng trong một căn phòng gần đó cần nhập mã PIN bị hack từ xa và khởi chạy ứng dụng tiền mã hóa. Ledger nhận định về kiểu tấn công này:

“Nó khá là không thực tế và một hacker có mưu đồ chắc chắn sẽ sử dụng các thủ thuật hiệu quả hơn”.

Thứ hai:

“Họ đã cố gắng thực hiện một cuộc tấn công chuỗi cung ứng bằng cách bỏ qua kiểm tra MCU, nhưng họ đã không thành công. MCU quản lý màn hình nhưng không có quyền truy cập vào mã PIN cũng như hạt giống (của ví Ledger) được lưu trữ trên Phần tử bảo mật”.

Mặc dù Ledger thừa nhận có một lỗi trong chức năng cập nhật firmware cho phép các nhà nghiên cứu bổ sung thêm phần mềm nhưng Ledger cho biết lỗi này đã được khắc phục trong phiên bản firmware tiếp theo của thiết bị và lỗi này không cho phép bất cứ thứ gì xảy ra ngoài giao diện gỡ lỗi JTAG. Các nhà nghiên cứu không thể truy cập vào các quỹ tiền mã hóa.

Cuối cùng, đối với ví Ledger Blue, các nhà nghiên cứu đã đo phát xạ vô tuyến khi nhập mã PIN, cách thức này có thể giúp kẻ tấn công tính toán mã PIN người dùng. Ledger nói rằng cuộc tấn công rất thú vị nhưng trong điều kiện thực tế thì việc này yêu cầu thiết bị phải giữ nguyên vị trí khi “cuốn từ điển phát xạ được tra cứu”. Điều này rất khó xảy ra.

Có vẻ như Ledger đã xem xét khả năng về một cuộc tấn công như vậy khi họ phản hồi rằng:

“Chúng tôi đã triển khai bàn phím ngẫu nhiên cho mã PIN trên Ledger Nano S và cải tiến tương tự được lên lịch trong bản cập nhật Firmger Ledger Blue tiếp theo”.

Trezor: Nếu bạn còn giữ thiết bị thì … hãy cứ tiếp tục sử dụng nó

Về phần Trezor, nhà sản xuất này phản hồi rằng:

“Kẻ tấn công sẽ cần quyền truy cập vật lý vào thiết bị của bạn. Nếu bạn có quyền kiểm soát vật lý đối với ví Trezor của mình, bạn có thể tiếp tục sử dụng nó và lỗ hổng này không phải là mối đe dọa đối với bạn”.

Trezor cũng đã nói rằng những người dùng quan tâm có thể kích hoạt tính năng passphrase – cụm mật khẩu trên các ví phần cứng Trezor của mình, nhưng nếu quyên cụm mật khẩu này thì đồng nghĩa với việc người dùng cũng sẽ mất tiền trong đó.

Các nhà nghiên cứu dường như đã xác định được một số điểm yếu tiềm tàng, tuy nhiên không có khả năng xảy ra. Dường như Ledger và Trezor đã đi trước trong việc xác định các lỗ hổng.

Ledger đã bán hơn một triệu ví tiền trong năm 2017 và tiếp tục trở thành công ty hàng đầu trong ngành với một loạt các quan hệ đối tác mới. Trezor cũng tiếp tục phát triển ví của mình và gần đây đã bổ sung thêm hỗ trợ Ethereum bản địa.

MỚI CẬP NHẬT

DappRadar: TVL DeFi giảm 27% trong khi AI, ứng dụng xã hội tăng đột...

Nền kinh tế bất ổn và một vụ hack sàn giao dịch nghiêm trọng đã làm giảm tổng giá trị bị khóa trong các...

SEC họp với BlackRock và Crypto Council để thảo luận quy định về ETF...

Lực lượng đặc nhiệm về tiền điện tử của Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC) đã tổ chức các cuộc...

Lợi suất trái phiếu kho bạc kỳ hạn 10 năm giảm xuống 4% khi...

Vào ngày 3 tháng 4, lợi suất trái phiếu chính phủ dài hạn của Hoa Kỳ đã giảm xuống mức thấp nhất trong sáu...
XRP

Ripple mở khóa 1 tỷ đô la XRP khi đà giảm giá đang hình...

XRP đang chịu áp lực, giảm gần 0,32% trong 24 giờ qua và dao động ngay trên mốc 2 đô la khi đà giảm...
eth-giam-gia

Ethereum (ETH) có bị bán tháo khi Shorter tăng cược lên 330 triệu đô...

Ethereum (ETH) và các loại tiền điện tử khác đã giảm mạnh sau khi Tổng thống Hoa Kỳ Donald Trump công bố chính sách...

Babylon Foundation công bố airdrop và phát hành token BABY

Babylon Foundation, tổ chức hỗ trợ giao thức staking Bitcoin của Babylon, vừa công bố chi tiết về sự kiện phát hành token BABY,...
sol-giam

Solana (SOL) mất 10% khi phe gấu siết chặt kiểm soát – Điều gì...

Solana (SOL) đang chịu áp lực bán mạnh khi giá lao dốc hơn 10% trong 24 giờ qua, phản ánh đà giảm ngày càng...
Binance đối mặt với làn sóng chỉ trích lớn khi nhiều người dùng kêu gọi tẩy chay

Binance đối mặt với làn sóng chỉ trích lớn khi nhiều người dùng kêu...

Những tranh cãi xoay quanh việc niêm yết token, mất peg của stablecoin FDUSD cùng các cáo buộc về hành vi thiếu đạo đức...
Ethereum

Có thể mong đợi gì từ ETH vào tháng 4?

Ethereum (ETH) đã trải qua một tháng đầy thử thách vào tháng 3, thể hiện rõ qua một loạt các xu hướng giảm giá...
btc-lao-doc

Bitcoin thách thức mức $80.000, hình thành ‘death cross’ khi chứng khoán Mỹ tái...

Bitcoin chạm mức thấp nhất trong tháng khi thị trường chịu áp lực từ dữ liệu thất nghiệp tại Mỹ. Bitcoin mất đà đầu tháng...
pi

Pi Network tạo mức thấp nhất mọi thời đại mới, giá tiếp tục dưới...

Pi Network (PI) sụt giảm đáng kể gần đây, khiến nhiều holder phải chịu lỗ. Cho đến nay, giá vẫn chưa thể thoát khỏi xu...

Wintermute mua 75 triệu FDUSD sau khi mất peg, kiếm lời 3 triệu USD

Stablecoin FDUSD, được neo giá theo đồng đô la Mỹ, đã mất peg vào ngày 2/4 sau khi nhà sáng lập Tron, Justin Sun,...

Lazarus Group sử dụng toàn bộ tiền điện tử đánh cắp để tài trợ...

Vũ khí hạt nhân của Triều Tiên không được tài trợ bởi nguồn thu truyền thống như than đá hay thuế, mà được hỗ...

Thị trường tiền điện tử theo sau S&P 500 và Nasdaq khi nỗi lo...

Khi các thị trường tài chính truyền thống cho thấy những dấu hiệu rõ ràng về một cuộc suy thoái kinh tế sắp xảy...

Bitcoin giữ vững giá trị của mình như thế nào suốt 16 năm qua?

Hành trình của Bitcoin từ một thử nghiệm cấp tiến đến một tài sản nghìn tỷ USD đã được thúc đẩy bởi những câu...

Paul Atkins là ai? Những điều cần biết về ứng cử viên Chủ tịch...

Paul Atkins, cựu Ủy viên Ủy ban Chứng khoán và Giao dịch Hoa Kỳ (SEC), vừa được đề cử làm tân Chủ tịch SEC....