Thứ hai, 14/08/2023, 16:29 (GMT + 7)

Lỗ hổng từ dự án Bitcoin lâu năm khiến 900.000 USD tiền điện tử “bốc hơi” và hàng loạt blockchain bị ảnh hưởng

Libbitcoin từng được cho là phần mềm kết nối với mạng Bitcoin an toàn hàng đầu, hóa ra lại không như vậy mà tiềm ẩn nhiều rủi ro.

Vào năm 2011, chỉ 2 năm sau khi Bitcoin được ra mắt, nhà phát triển vô chính phủ người Anh gốc Iran Amir Taakia và một nhóm lập trình viên code nguồn mở đã tạo ra giải pháp thay thế cho Bitcoin Core - phần mềm đời đầu và phổ biến nhất để kết nối với mạng Bitcoin.

Phần mềm thay thế mang tên Libbitcoin, hiện tại đã phát triển thành một bộ công cụ toàn diện, hay còn gọi là thư viện dành cho các chức năng quan trọng như giao tiếp với blockchain Bitcoin và tạo khóa mật mã.

Thậm chí, trong cuốn sách “Mastering Bitcoin” nổi tiếng và được cho là kinh điển của nhà giáo dục Bitcoin Andreas Antonopoulos, Libbitcoin đã được tác giả ưu ái giới thiệu.

Tuy nhiên, mấy tháng gần đây, cộng đồng phát hiện có khoảng 900.000 USD bỗng nhiên “bốc hơi khỏi ví mà không có dấu vết gì”. Đến khi tiến hành điều tra, mọi người mới vỡ lẽ ra rằng Libbitcoin từng được cho là phần mềm an toàn hóa ra lại không như vậy.

Cụ thể, một báo cáo trên milksad.info trình bày chi tiết những phát hiện của Distrust, công ty bảo mật đã phát hiện lỗ hổng vào tháng 7, với sự hỗ trợ của một nhóm cộng tác viên độc lập.

Vụ trộm lớn nhất đã lấy đi 29,65 BTC trị giá khoảng 870.000 USD theo tỷ giá hiện tại, diễn ra vào ngày 12/07. Distrust cho biết tổng cộng ít nhất 900.000 USD đã bị đánh cắp từ 2.600 ví Bitcoin trên nhiều blockchain.

Đến ngày 08/08, nhà phân tích Anton Livaja thuộc team Distrust tiết lộ ví phần cứng như Trezor và Ledger dường như không bị thiệt hại, nhưng vẫn có một số ví gặp rủi ro và toàn bộ số tiền bị đánh cắp “vẫn chưa được xác định”.

~$1M is the lower bound. We focused on btc, while the same seed may have been used across multiple chains. The full extent of the impact has yet to be determined.
— Anton Livaja (@antonleviathan) August 9, 2023

Trước đó, hacker đã bắt đầu bí mật đánh cắp tiền từ những người dùng nhẹ dạ sau khi phát hiện lỗ hổng khó hiểu trong một số ví do trình khám phá Libbitcoin tạo ra, có tên là BX vào tháng 5 vừa qua. BX đi kèm với lệnh văn bản “bx seed” sử dụng đồng hồ trên máy tính của nhà phát triển để tạo cụm từ gốc trong quá trình tạo ví.

Phần mềm tiền điện tử sử dụng các kết hợp ngẫu nhiên từ 12 đến 24 từ hoặc cung cấp cụm từ gốc cho những người dùng muốn “khôi phục” hoặc lấy lại quyền truy cập vào ví của họ trong trường hợp vô tình làm mất.

Nhưng khi sử dụng BX, cụm từ kết quả hóa ra không đủ ngẫu nhiên. Theo báo cáo, “một PC chơi game tốt có thể thực hiện tìm kiếm kiểu tấn công brute-force”, được hiểu là đoán tất cả các tổ hợp từ có thể có cho cụm từ hạt giống của người dùng “trong vòng chưa đầy một ngày”.

Do đó, lỗ hổng này được đặt tên là “Milk Sad” vì “milk” và “sad” là hai từ đầu tiên trong cụm từ hạt giống khôi phục ví do lỗ hổng này tạo ra.

Milk Sad không chỉ xuất hiện trên mạng Bitcoin, Ethereum, Zcash, Solana và thậm chí cả Dogecoin cũng nằm trong danh sách 8 blockchain bị ảnh hưởng. Các lỗ hổng tương tự nhưng không giống hệt đã được phát hiện trong Cake Wallet và Trust Wallet, cả hai đều là ứng dụng ví đa chain.

Thông thường, các cụm từ gốc được tạo bằng cách sử dụng trình tạo có khả năng sản xuất một tập hợp hoặc “không gian khóa” với số lượng kết hợp từ duy nhất được biểu thị bằng số mũ của một chữ số nhị phân hoặc “bit” – về cơ bản là lũy thừa 2 bậc 128, 192 hoặc 256.

BX có không gian khóa 32-bit ít ỏi, chỉ có thể tạo ra khoảng 4,3 tỷ tổ hợp từ duy nhất.

Eric Voskuil, nhà phát triển chính của BX, thừa nhận trình tạo cụm từ hạt giống thực sự không an toàn, nhưng khẳng định không có lỗi trong phần mềm, đồng thời cho rằng lệnh BX seed text đã bị lạm dụng. Anh đã tweet một ảnh chụp màn hình tài liệu GitHub của ứng dụng để cảnh báo các nhà phát triển về lỗ hổng bảo mật.

“Đây không phải là lỗi trong BX hay Libbitcoin. Đó là do phát triển ví liều lĩnh”

Eric Voskuil , nhà phát triển chính của BX

https://t.co/ArWsiaAsbU
— Eric Voskuil (@evoskuil) August 9, 2023

Tuy nhiên, một số nhà mật mã học trong cộng đồng Bitcoin cho rằng không có gì khác biệt. Tim Ruffing, nhà mật mã học tại công ty cơ sở hạ tầng Bitcoin Blockstream đanh thép tuyên bố: “Vụ việc rất rõ ràng. Đó là lỗi của bạn, chấm hết”.

Hiện tại, người dùng vẫn nên đặc biệt cẩn trọng kẻo trở thành “con mồi” của hacker.

VIC Crypto tổng hợp

Tin tức liên quan:

Top 15 vụ trộm tiền điện tử lớn nhất mọi thời đại: Hàng tỷ USD bị “bay màu”, tin tặc còn được trao thưởng