Cảnh báo hack ví: Lỗ hổng Randstorm có thể khiến tài sản của một triệu Bitcoin holder “bay màu”

Hơn triệu ví Bitcoin đang đứng trước nguy cơ mất sạch tiền.

Mới đây, Unciphered, công ty cung cấp giải pháp phục hồi ví tiền điện tử, vừa cảnh báo người dùng về lỗ hỗng Randstorm khiến các seed-phrase của những ví cũ có nguy cơ bị hack bất cứ lúc nào.

Today we release our work on Randstorm: a vulnerability affecting a significant number of browser generated cryptocurrency wallets https://t.co/CebdytNaC6

Reporting @washingtonpost https://t.co/OzYDq2tH4W

Technical write-up: https://t.co/HPqjtaX1CA #Bitcoin #blockchain pic.twitter.com/aN7CZh9sv4

— Unciphered LLC (@uncipheredLLC) November 14, 2023

Cụ thể, đối tượng bị ảnh hưởng bởi lỗ hổng Randstorm là những ví Bitcoin đời cũ được tạo từ năm 2010 – 2016, có sử dụng thuật toán ngẫu nhiên để tạo từ khóa hạt giống nhưng yếu hơn hiện nay. Bởi vì, trước 2016, đa phần các trình duyệt đều sử dụng BitcoinJS – thư viện JavaScript được sử dụng rộng rãi cho ví Bitcoin – để tạo từ khóa hạt giống. Nhưng BitcoinJS lại được xây dựng với thuật toán tạo tính ngẫu nhiên yếu mà đến nay hacker hoàn toàn có thể lần ra được.

Theo nhận định của Trail of Bits, BitcoinJS được tái sử dụng bởi hàng chục công ty Blockchain khác, nên rất khó để biết được ai thực sự ảnh hưởng. Nếu nạn nhân là những ví càng lâu năm (ví dụ từ 2010) và số dư lớn, có thể gây tâm lý hoang mang cho nhà đầu tư.

Ngoài ra, Unciphered cảnh báo ví Dogecoin, ví Litecoin và Zcash cũng bị ảnh hưởng bởi lỗ hổng này. Bởi, từ năm 2013, Dogechain.info là một trình khám phá Dogecoin phổ biến cung cấp các dịch vụ tạo ví có sử BitcoinJS.

Để chứng minh lỗ hổng này nguy hiểm ra sao, @trailofbits đã nhanh chóng tạo nguyên mẫu cho một cuộc tấn công bằng Python. Kết quả cho thấy họ đã khôi phục được từ khóa hạt giống mà chỉ mất có vài ngày trên một chiếc Macbook.

This issue is easily exploitable. @trailofbits rapidly prototyped an attack with unoptimized Python and seed recovery took only days on a single Macbook.
If you have a wallet you suspect may be affected: *migrate your funds to a new wallet immediately.* pic.twitter.com/PBFDpksrYP

— Trail of Bits (@trailofbits) November 16, 2023

Nhận thấy mối nguy hại lớn, Unciphered đã liên hệ với các nhà cung cấp ví, đồng thời khuyến nghị những nhà đầu tư lâu năm nên chuyển tiền sang một ví mới.

VIC Crypto tổng hợp

Tin tức liên quan:

 Nghi vấn Binance bị hack khi ví có liên kết với sàn "bay màu" 27 triệu USD

 Thị trường chứng khoán Mỹ lao đao khi ngân hàng cho vay hàng đầu thế giới ICBC bị hacker “ghé thăm”

 Sàn Poloniex của Justin Sun bị tấn công, hacker bòn rút hơn 100 triệu USD

 Fantom Foundation bị hacker “ghé thăm” do lỗ hổng từ Google Chorme