Kraken: Tin tặc có thể xâm nhập ví cứng Trezor trong 15 phút

Phòng nghiên cứu Bảo mật Kraken đã tìm ra một lỗi an ninh nghiêm trọng trong các ví cứng tiền số Trezor, cho phép hacker lấy đi seed chỉ trong vòng 15 phút.

Nghiên cứu của sàn Kraken hé lộ

Trong một bài đăng trên blog ngày thứ Sáu, Kraken cho rằng tin tặc có thể khai thác lỗi về điện áp và lấy seed đã mã hoá từ ví Trezor One và ví Trezor Model T nếu có được 15 phút tiếp cận trực tiếp thiết bị.

Bài đăng tranh luận rằng Trezor đã được cảnh báo về nguy cơ này từ khi thiết kế dòng sản phẩm. Kraken đã tiết lộ chi tiết về cách thức tấn công cho Trezor biết từ tháng 10/2019, trước khi công bố ra đại chúng về lỗi bảo mật này. Đội bảo mật của Ledger, Ledger Donjon, cũng đã tiến hành nghiên cứu tương tư năm ngoái.

Theo giám đốc phụ trách bảo mật của Kraken Nick Percoco, lỗ hổng vốn có trong một vi điều khiển sử dụng trong ví Trezor. Đó là lí do tại sao mối nguy hiểm này vẫn tồn tại bất chấp Trezor nhận biết về nó.

“Đây là một lỗi thuộc về phần cứng, không phải thứ mà họ có thể đăng tải một bản cập nhật chính thức và có thể sửa hết cho tất cả khách hàng. Để giải quyết vấn đề này, cơ bản là họ phải làm ra một thiết bị mới khác.”

Phản hồi từ phía Trezor

Sau khi bài viết được đăng trên blog sàn Kraken, Trezor đã tweet lại phản hồi chính thức cho nghiên cứu của Ledger hồi tháng 03/2019. Theo nội dung phản hồi, cách tấn công này không thể xảy ra từ xa và không hiệu quả với ai bật tính năng BIP 39 passphrase.

Trezor cũng đăng một tweet tiếp đó, cho rằng “Tiếp cận vật lí là rủi ro đến 6-9% người dùng, theo nghiên cứu của chúng tôi. Nếu ai đó có mối nguy này, chúng tôi khuyến cáo nên dùng tính năng Passphrase (cụm mật khẩu). Nhưng xin nhắc lại, tiếp cận trực tiếp không phải là một trường hợp phổ biến.”

Percoco xác nhận quan điểm của Trezor: “Chúng tôi không thể thực hiện vụ tấn công nếu có BIP 39 passphrase, nhưng không may rằng, cụm mật khẩu là một tính năng tuỳ chọn và không phải người dùng nào cũng bật. Cho nên lời khuyên thực sự bây giờ là, một, đảm bảo rằng bạn kiểm soát ví Trezor của mình theo nghĩa vật lí, tức giữ trực tiếp, và hai, thêm cụm mật khẩu cho ví.”

Khuyến nghị sử dụng ví cứng an toàn

Kraken cũng đã từng thực hiện cách tấn công tương tự với ví KeepKey. Sau khi tiến hành hai nghiên cứu, Kraken kết luận trong bài đăng rằng “những chip này không được thiết kế để lưu giữ bí mật và… bạn không nên chỉ dựa vào các nhà cung cấp như Trezor và KeepKey để bảo vệ tiền mã hoá của mình”.

Tham khảo thêm: Vấn đề an toàn khi giao dịch tiền ảo: Điều nên và không nên làm

Percoco nói Kraken quyết định thực hiện bài đăng để nâng cao nhận thức của cộng đồng với rủi ro tiềm tàng.

“Bài viết dành cho khách hàng của chúng tôi và người dùng trong cộng đồng Bitcoin, để nhận thức về các bước họ cần làm thêm khi dùng ví cứng, đảm bảo seed của họ được bảo vệ an toàn.”