BÁO CÁO: Ledger tìm ra 5 lỗ hổng trong dòng ví cứng Trezor

BÁO CÁO: Ledger tìm ra 5 lỗ hổng trong dòng ví cứng Trezor

Theo báo cáo được công bố hôm 11/3, nhà sản xuất ví cứng Ledger tiết lộ họ đã phát hiện đến 5 lỗ hổng trong ví Trezor, đối thủ cạnh tranh hàng đầu với Ledger. 

Xem thêm:

Tại thời điểm nhà phát triển Ledger đưa ra thông tin này, Trezor vẫn chưa xuất hiện để cập nhật tình hình.

Báo cáo nêu rõ các lỗ hổng bảo mật được phát hiện bởi Attack Lab, một bộ phân của Ledger chuyên tấn công vào các thiết bị của mình, cũng như của đối thủ cạnh tranh để cải thiện bảo mật. Ledger tuyên bố rằng họ đã nhiều lần đề cập đến Trezor về những điểm yếu trong ví Trekey One và Trezor T của họ, và đã quyết định công khai chúng sau khi thời gian tiết lộ trách nhiệm kết thúc.

Lỗ hổng đầu tiên liên quan đến tính xác thực của các thiết bị. Theo đội ngũ Ledger, thiết bị Trezor có thể được "nhái" lại bằng cách sao lưu thiết bị bằng phần mềm độc hại, sau đó niêm phong lại trong hộp của nó và dán nhãn chống giả mạo, được cho là dễ dàng gỡ bỏ. Ledger tuyên bố rằng lỗ hổng này chỉ có thể được khắc phục bằng cách đại tu thiết kế ví Trezor và đặc biệt, bằng cách thay thế một trong các thành phần cốt lõi bằng chip Secure Element.

BÁO CÁO: Ledger tìm ra 5 lỗ hổng trong dòng ví cứng Trezor

Lỗ hổng thứ hai, tin tặc Ledger đã đoán ra giá trị của mã PIN trên ví Trezor bằng cách sử dụng một cuộc tấn công side-channel và báo cáo với Trezor vào cuối tháng 11/2018. Công ty sau đó đã giải quyết vấn đề trong bản cập nhật firmware 1.8.0.

Lỗ hổng thứ ba và thứ tư, mà Ledger cũng đưa ra để giải quyết bằng cách thay thế thành phần cốt lõi bằng chip Secure Element, bao gồm khả năng đánh cắp dữ liệu bí mật từ thiết bị. Ledger tuyên bố rằng kẻ tấn công có quyền truy cập vật lý vào Trezor One và Trezor T, sau đó trích xuất tất cả dữ liệu từ bộ nhớ flash và giành quyền kiểm soát tài sản được lưu trữ trên thiết bị.

Lỗ hổng cuối cùng được phát hiện cũng liên quan đến mô hình bảo mật Trezor. Theo Ledger, thư viện tiền điện tử của Trezor One không chứa các biện pháp đối phó thích hợp chống lại các cuộc tấn công phần cứng. Nhóm nghiên cứu tuyên bố rằng một hacker có quyền truy cập vật lý vào thiết bị có thể trích xuất khóa bí mật thông qua một cuộc tấn công side-channel., mặc dù Trezor đã tuyên bố rằng ví của họ có khả năng chống lại nó.

Vào tháng 11/2018, chính Trezor đã cảnh báo rằng một bên thứ ba không xác định đang phân phối các bản sao một đổi một của thiết bị Trezor One hàng đầu của mình. Các ví giả dường như có nguồn gốc từ Trung Quốc, do đó, công ty đã kêu gọi các chủ sở hữu chỉ mua ví từ trang web Trezor.

BÁO CÁO: Ledger tìm ra 5 lỗ hổng trong dòng ví cứng Trezor

Tuy nhiên, trong báo cáo gần đây, Ledger tuyên bố rằng người dùng không thể chắc chắn ngay cả khi họ mua ví cứng từ trang web chính thức của Trezor. Kẻ tấn công có thể có thể mua một số thiết bị, sao lưu chúng và sau đó gửi lại cho nhà sản xuất yêu cầu hoàn tiền. Trong trường hợp thiết bị bị xâm nhập được bán lại, tiền của người dùng có thể bị đánh cắp, Ledger kết luận.

Cũng trong tháng 11/2018, nhóm nghiên cứu đằng sau dự án hack được gọi là Wallet.fail đã trình diễn cách họ hack Trezor One, Ledger Nano S và Ledger Blue tại hội nghị 35C3. Cả Trezor và Ledger đều thừa nhận các lỗ hổng được tìm thấy. Với Trezor, họ lưu ý rằng bản cập nhật firmware sẽ giải quyết chúng, nhưng Ledger lại nói rằng chúng không quá nguy hiểm đối với ví của họ.

Đây quả là thông tin vô cùng hữu ích đúng không nào. Đừng quên truy cập các địa chỉ sau để tiếp nhận thông tin Crypto nhanh nhất:

Biên tập: MeoHeo - cointelegraph