Cảnh báo: 4 lỗ hổng bảo mật của ví cứng Trezor được phát hiện

0
525

Công ty sản xuất HD wallet có trụ sở tại Pháp Ledger đã tiết lộ trong một bài đăng trên blog vào ngày 11 tháng 3 năm 2019, rằng AttackLab của họ đã phát hiện ra năm lỗ hổng bảo mật chính của các sản phẩm ví cứng Trezor, là Trezor One và Trezor Model T.

Trước khi công khai các lỗ hổng bảo mật, Ledger đã dành thời gian để nghiên cứu các lỗ hổng chưa được phát hiện trên những sản phẩm ví cứng Trezor. Bài đăng trên blog cho rằng Ledger thậm chí còn cung cấp hai tiện ích mở rộng để Trezor có thể giải quyết các vấn đề.

Cả hai công ty, Ledger và Trezor đều tham gia sản xuất hardware wallet (tạm dịch: ví cứng) cho tiền điện tử và Ledger cho biết họ cũng có trách nhiệm tăng cường bảo mật trong toàn bộ hệ sinh thái công nghệ blockchain bất cứ khi nào có thể. Đó là lý do tại sao AttackLab của họ liên tục cố gắng hack các sản phẩm của chính họ cũng như các đối thủ cạnh tranh như những sản phẩm ví cứng Trezor.

Ví cứng là một phát kiến quan trọng trong việc bảo mật tiền điện tử

Kể từ khi thành lập, ngành công nghiệp blockchain đã phải đối mặt với một thách thức lớn về mặt bảo mật các loại tiền điện tử. Hầu như tất cả các xâm phạm an ninh tại các sàn giao dịch tiền điện tử và các vụ hack riêng đều liên quan đến việc đánh cắp tiền điện tử được lưu trữ kết nối với mạng.

Trong khi các biện pháp bảo mật được kết nối mạng cố gắng giảm thiểu các lỗ hổng bảo mật bằng cách triển khai các lớp mã hóa để tăng cường bảo mật nội dung, thì tin tặc luôn nỗ lực tìm cách phá hoại. Do đó, các công ty như Ledger đã đưa ra Ledger Nano S, một giải pháp sáng tạo, giữ tiền điện tử trong một thẻ nhớ như thiết bị có tên là Ví cứng (hardware wallet) ngoại tuyến, có thể ngắt kết nối với mạng. Các thiết bị di động và ngoại tuyến này có các hệ thống mã hóa tích hợp mà chủ sở hữu có thể tin tưởng.

mot san pham vi lanh trezor
Cài đặt mã PIN sản phẩm ví cứng Trezor Model T

Ledger đã phát hiện ra bốn lỗ hổng bảo mật lớn liên quan đến sản phẩm ví cứng Trezor

Hãng sản xuất ví cứng Trezor tuyên bố cung cấp một nơi an toàn cho tiền điện tử với các dòng sản phẩm mình, bao gồm mẫu Trezor Model T mới có cả màn hình LCD.

Tuy nhiên, Ledger nói rằng các kỹ sư của họ đã có thể tạo ra một phiên bản giả của các sản phẩm Trezor, sử dụng cùng các thành phần, cùng kiến trúc phần cứng, giao diện giống nhau và đặt dấu hỏi lớn về tính chân thực của thiết bị.

Tiếp theo, Ledger tuyên bố rằng vì các thiết bị ví cứng Trezor yêu cầu cung cấp xác minh mã PIN và cho phép người dùng với thời gian chờ theo cấp số nhân để nhập mã PIN chính xác. Điều này dẫn tới việc có thể đoán giá trị của mã PIN bằng cách sử dụng tấn công kênh bên. Ledger cho biết họ đã tìm cách lấy lại mã PIN chính xác bằng cách sử dụng cuộc tấn công kênh bên với ít hơn 5 lần thử.

Hai lỗ hổng bảo mật tiếp theo thậm chí còn nghiêm trọng hơn khi Trezor sử dụng bộ nhớ flash làm thiết bị lưu trữ không tích hợp chip Secure Element. Do đó, theo Ledger, lỗ hổng bảo mật này hoàn toàn không thể được vá mà không tác động hoàn toàn thiết kế cốt lõi của ví cứng Trezor One và Trezor T. Do đó, họ quyết định không tiết lộ nó.

Nhận xét về lỗ hổng bảo mật này, Ledger cho biết họ đã chứng minh rằng “với một máy hiện sóng kỹ thuật số và một vài phép đo, nó có thể trích xuất khóa của giao dịch bằng phân tích Side Channel.”

Theo Cryptopotato
Biên soạn bởi Goctienao.com



Sàn giao dịch uy tín tại Việt Nam: https://bitmoon.net

Kênh Telegram hỗ trợ: https://t.me/bitmoondotnet

Hướng dẫn đầu tư coins: https://goctienao.com

Kênh tin tức - nhận phần thưởng từ GocTienAo: https://t.me/goctienao

Group hướng dẫn FB: https://www.facebook.com/groups/tradecryptovietnam