Trang chủ Tạp chí Trezor và Ledger phản hồi lại các tuyên bố về vấn đề...

Trezor và Ledger phản hồi lại các tuyên bố về vấn đề bảo mật

Ba nhà nghiên cứu và kỹ sư đã có một bài trình bày tại sự kiện Chaos Communication Congress lần thứ 35 trong đó tiết lộ các lỗ hổng bảo mật trong các ví phần cứng tiền mã hóa. Trezor và Ledger đã trả lời ngắn gọn rằng số dư tiền mã hóa của người dùng của họ là an toàn.

Dmitry Nedospasov, Thomas Roth và Josh Datko, đã tạo ra trang web wallet.fail và hứa sẽ xuất bản trực tuyến bài trình bày của họ trong Chaos Communication Congress sau sự kiện này. Trong vòng 24 giờ, các tuyên bố của nhà nghiên cứu đã được công bố và hai nhà sản xuất ví phần cứng hàng đầu đã phản hồi.

Ledger cho biết tài sản tiền mã hóa trong ví vẫn được bảo mật

Ledger đã phản hồi tất cả với một bài đăng trên blog nói rằng mặc dù họ rất vui khi thấy mọi người thách thức tính bảo mật của hãng nhưng:

“Họ đã trình bày 3 hướng tấn công có thể gây ấn tương với việc các lỗ hổng nghiêm trọng đã bị phát hiện trên các thiết bị Ledger. Đây không phải là trường hợp”.

Mặc dù các nhà nghiên cứu nói rằng tất cả họ đều yêu thích tiền mã hóa và bản thân họ đều sở hữu tiền mã hóa nhưng Ledger cũng có vẻ hơi thất vọng khi nói thêm rằng:

“Trong thế giới bảo mật, cách thông thường để tiến hành là tiết lộ có trách nhiệm. Chúng tôi rất tiếc vì các nhà nghiên cứu đã không tuân theo các nguyên tắc bảo mật tiêu chuẩn được nêu trong chương trình Bounty của Ledger”.

Ledger cũng tin rằng ba nhà nghiên cứu đã không cung cấp các lỗ hổng thực tế trên mạng.

Đầu tiên, các nhà nghiên cứu đã thực hiện một cuộc tấn công để sửa đổi ví tiền vật lý và sử dụng phần mềm độc hại trên PC của chủ sở hữu tiền mã hóa kết hợp với một kẻ tấn công tiềm năng trong một căn phòng gần đó cần nhập mã PIN bị hack từ xa và khởi chạy ứng dụng tiền mã hóa. Ledger nhận định về kiểu tấn công này:

“Nó khá là không thực tế và một hacker có mưu đồ chắc chắn sẽ sử dụng các thủ thuật hiệu quả hơn”.

Thứ hai:

“Họ đã cố gắng thực hiện một cuộc tấn công chuỗi cung ứng bằng cách bỏ qua kiểm tra MCU, nhưng họ đã không thành công. MCU quản lý màn hình nhưng không có quyền truy cập vào mã PIN cũng như hạt giống (của ví Ledger) được lưu trữ trên Phần tử bảo mật”.

Mặc dù Ledger thừa nhận có một lỗi trong chức năng cập nhật firmware cho phép các nhà nghiên cứu bổ sung thêm phần mềm nhưng Ledger cho biết lỗi này đã được khắc phục trong phiên bản firmware tiếp theo của thiết bị và lỗi này không cho phép bất cứ thứ gì xảy ra ngoài giao diện gỡ lỗi JTAG. Các nhà nghiên cứu không thể truy cập vào các quỹ tiền mã hóa.

Cuối cùng, đối với ví Ledger Blue, các nhà nghiên cứu đã đo phát xạ vô tuyến khi nhập mã PIN, cách thức này có thể giúp kẻ tấn công tính toán mã PIN người dùng. Ledger nói rằng cuộc tấn công rất thú vị nhưng trong điều kiện thực tế thì việc này yêu cầu thiết bị phải giữ nguyên vị trí khi “cuốn từ điển phát xạ được tra cứu”. Điều này rất khó xảy ra.

Có vẻ như Ledger đã xem xét khả năng về một cuộc tấn công như vậy khi họ phản hồi rằng:

“Chúng tôi đã triển khai bàn phím ngẫu nhiên cho mã PIN trên Ledger Nano S và cải tiến tương tự được lên lịch trong bản cập nhật Firmger Ledger Blue tiếp theo”.

Trezor: Nếu bạn còn giữ thiết bị thì … hãy cứ tiếp tục sử dụng nó

Về phần Trezor, nhà sản xuất này phản hồi rằng:

“Kẻ tấn công sẽ cần quyền truy cập vật lý vào thiết bị của bạn. Nếu bạn có quyền kiểm soát vật lý đối với ví Trezor của mình, bạn có thể tiếp tục sử dụng nó và lỗ hổng này không phải là mối đe dọa đối với bạn”.

Trezor cũng đã nói rằng những người dùng quan tâm có thể kích hoạt tính năng passphrase – cụm mật khẩu trên các ví phần cứng Trezor của mình, nhưng nếu quyên cụm mật khẩu này thì đồng nghĩa với việc người dùng cũng sẽ mất tiền trong đó.

Các nhà nghiên cứu dường như đã xác định được một số điểm yếu tiềm tàng, tuy nhiên không có khả năng xảy ra. Dường như Ledger và Trezor đã đi trước trong việc xác định các lỗ hổng.

Ledger đã bán hơn một triệu ví tiền trong năm 2017 và tiếp tục trở thành công ty hàng đầu trong ngành với một loạt các quan hệ đối tác mới. Trezor cũng tiếp tục phát triển ví của mình và gần đây đã bổ sung thêm hỗ trợ Ethereum bản địa.

MỚI CẬP NHẬT

Nguyên nhân nào khiến Monero (XMR) tăng vọt hơn 40%?

Monero (XMR), đồng tiền điện tử tập trung vào quyền riêng tư, đã chứng kiến mức tăng giá hơn 40% chỉ trong vài giờ...

Bitcoin thể hiện vai trò “kho lưu trữ giá trị” giữa hỗn loạn chính...

Theo New York Digital Investment Group (NYDIG), Bitcoin (BTC) đang bắt đầu thể hiện vai trò là một kho lưu trữ giá trị trong...
btc-eth-xrp

Dự đoán giá TOP 3 tiền điện tử: BTC và ETH ổn định trong...

Tính đến thời điểm viết bài vào thứ Hai, Bitcoin (BTC) và Ethereum (ETH) đang duy trì sự ổn định quanh các mức $94.000...
Team Official Melania Meme bán 1,5 triệu đô la MELANIA khi giá tăng 21%

Team Official Melania Meme bán 1,5 triệu đô la MELANIA khi giá tăng 21%

Trong ba ngày qua, team phát triển Official Melania Meme đã bán ra hơn 1,5 triệu USD MELANIA. Theo dữ liệu blockchain, team đã...

Giá DOGE có thể tăng 10% nếu điều này xảy ra

Dogecoin (DOGE) đã ghi nhận một đợt tăng giá ấn tượng trong những ngày qua, vượt ra khỏi đường xu hướng giảm trên biểu...

Giá HBAR giảm xuống $0,16 có thể kích hoạt thanh lý 42 triệu USD

HBAR đã ghi nhận một đợt tăng trưởng đáng kể trong thời gian gần đây, đưa altcoin này quay trở lại vùng hợp nhất...

Thành viên cộng đồng Ethereum đề xuất cấu trúc phí mới cho lớp ứng...

Hai thành viên cộng đồng Ethereum, Kevin Owocki và Devansh Mehta, vừa đề xuất một mô hình phí động cho lớp ứng dụng (app...
bitcoin

Các yếu tố tăng giá của Bitcoin báo hiệu con đường hướng tới 108.000...

Nhà phân tích on-chain nổi tiếng Willy Woo cho biết Bitcoin có thể lấy lại mức cao nhất mọi thời đại (ATH) nếu dòng...

Michaël van de Poppe: Thị trường altcoin có thể sẽ trở lại nhờ thanh...

Theo nhà phân tích tiền điện tử Michaël van de Poppe, thị trường altcoin đang cho thấy dấu hiệu hồi sinh sau một giai...

Bitget sẽ kiện 8 tài khoản bị nghi thu lợi 20 triệu USD từ...

Sàn giao dịch Bitget cho biết sẽ tiến hành các hành động pháp lý đối với tám tài khoản bị nghi ngờ thao túng thị...
IMF cảnh báo suy thoái kinh tế toàn cầu

IMF cảnh báo suy thoái kinh tế toàn cầu do thuế quan và biến...

Quỹ Tiền tệ Quốc tế (IMF) dự báo sự suy thoái trong nền kinh tế toàn cầu, chủ yếu do những bất ổn phát...

Cá voi di chuyển hơn 17.000 SOL sang Kraken, liệu giá có vượt ngưỡng...

Hoạt động cá voi gần đây của Solana (SOL) đã thu hút sự chú ý, với một đợt di chuyển lớn mang theo 17.481...

Quỹ đầu tư quốc gia Na Uy lỗ 40 tỷ USD trong quý 1,...

Norges Bank, đơn vị quản lý Quỹ đầu tư quốc gia Na Uy lớn nhất thế giới trị giá 1.700 tỷ USD, vừa báo...

Top 3 altcoin “Made In USA” trong tuần đầu tiên của tháng 5

Nhiều dự án altcoin "Made in USA" đã có hiệu suất trái chiều trong tuần đầu tiên của tháng 5, với PENGU, SUI và...

XRP vững vàng trên hỗ trợ quan trọng: Một đợt tăng mạnh sắp xảy...

XRP đã ghi nhận mức tăng khoảng 8% trong tuần qua. Đặc biệt, vào đầu tuần này, quỹ XRP ETF đầu tiên trên thế...

Top altcoin tăng và giảm hàng tuần: VIRTUAL, TRUMP, DEXE, BGB

Tuần này, thị trường altcoin đang sôi động. May mắn thay, không có thêm một vụ sụp đổ nào nữa. Thay vào đó, Tổng thống...