Ví điện tử tiền điện tử Cũng Có Thể Bị Đánh Cắp | MYTOUR

Buzz

Ngày cập nhật gần nhất: 15/3/2026

Nội dung bài viết

Ví Điện Tử Tiền Điện Tử Cũng Có Thể Bị Đánh Cắp

Cho dù bạn nghĩ tiền điện tử là một kịch bản lừa đảo hay một sự cứu rỗi, những đồng tiền số đó có thể lưu trữ giá trị thực tế. Nơi an toàn nhất để giữ chúng là trong những gì được biết đến là một "ví điện tử," một thiết bị như một ổ USB lưu trữ tiền của bạn và khóa riêng tư một cách cục bộ, mà không kết nối với internet. Nhưng "an toàn" không có nghĩa là "hoàn hảo," điều này được củng cố rõ ràng bằng nghiên cứu mới về hai ví điện tử phổ biến.

Các nhà nghiên cứu từ Ledger—một công ty sản xuất ví điện tử—đã thực hiện các cuộc tấn công vào sản phẩm của các nhà sản xuất Coinkite và Shapeshift có thể đã cho phép kẻ tấn công xác định mã PIN bảo vệ những chiếc ví. Những lỗ hổng đã được khắc phục, và cả hai cuộc tấn công đều yêu cầu truy cập vật lý vào thiết bị, giảm thiểu nguy cơ ban đầu. Nhưng Ledger cho rằng việc duy trì các tiêu chuẩn cao nhất cho ví điện tử vẫn đáng giữ, giống như bạn làm với một két an toàn.

"Bạn có thể đặt hàng triệu hoặc thậm chí tỷ nếu bạn muốn vào một ví điện tử," nói Charles Guillemet, giám đốc công nghệ của Ledger, người cũng điều hành đội an ninh Donjon của công ty. "Vì vậy, điều này thực sự là một vấn đề lớn nếu kẻ tấn công có truy cập vật lý vào một chiếc ví điện tử và chiếc ví không an toàn. Một số sàn giao dịch tiền điện tử thậm chí đang sử dụng ví điện tử cho việc lưu trữ lạnh," còn được gọi là hệ thống giữ tài sản ngoại tuyến.

Shapeshift đã khắc phục một lỗ hổng trong ví KeepKey của mình thông qua một bản cập nhật firmware vào tháng 2. Nếu bạn chưa làm, hãy kết nối ví KeepKey của bạn với ứng dụng trên máy tính để tải bản cập nhật xuống thiết bị của bạn. Một lỗ hổng về phần cứng trong ví Coldcard Mk2 của Coinkite vẫn tồn tại, nhưng đã được khắc phục trong mô hình Coldcard hiện tại Mk3 của công ty, bắt đầu vận chuyển từ tháng 10. Các nhà nghiên cứu sẽ trình bày cuộc tấn công của họ vào Mk2 tại hội nghị an ninh SSTIC ở Pháp vào tháng 6.

Cuộc tấn công mà các nhà nghiên cứu phát triển đối với ví KeepKey đã mất thời gian để chuẩn bị, nhưng với đủ kế hoạch, một hacker có thể nhanh chóng bắt giữ PIN của một mục tiêu trên thực địa. Cuộc tấn công dựa vào thông tin mà các ví KeepKey vô tình tiết lộ ngay cả khi chúng đã bị khóa.

Các chip bộ nhớ thông thường, như những cái được sử dụng trong ví điện tử, phát ra các đầu ra điện áp khác nhau tại các thời điểm khác nhau. Trong một số tình huống, các nhà nghiên cứu có thể thiết lập một liên kết giữa những biến động tiêu thụ điện năng này và dữ liệu mà chip đang xử lý khi hiển thị những thay đổi đó. Những dấu hiệu vật lý như vậy được biết đến là "side channels," bởi vì chúng rò rỉ thông tin thông qua một phát điện vật lý gián tiếp thay vì thông qua bất kỳ truy cập trực tiếp nào đến dữ liệu. Trong việc kiểm tra chip bộ nhớ KeepKey lưu trữ mã PIN xác thực của người dùng, các nhà nghiên cứu Donjon đã phát hiện rằng họ có thể giám sát các biến động đầu ra điện áp khi chip nhận đầu vào PIN để xác định chính PIN đó.

Điều này không có nghĩa là các nhà nghiên cứu có thể đọc mã PIN từ điện áp chip của một ví. Họ đầu tiên cần sử dụng các thiết bị thử nghiệm KeepKey thực để lấy hàng nghìn đo lường của đầu ra điện áp của bộ xử lý PIN cho mỗi giá trị của các mã PIN đã biết. Bằng cách thu thập một loại bộ giải mã của các đầu ra điện áp cho mỗi giai đoạn của việc thu hồi PIN, một kẻ tấn công sau này có thể xác định mã PIN của một ví mục tiêu.

"Trên thiết bị bị tấn công, chúng tôi so sánh đo lường với từ điển của mình để xác định sự khớp phù hợp nhất và đó là giá trị có khả năng cao nhất của mã PIN chính xác," Guillemet nói.

ShapeShift đã vá lỗ hổng trong một bản cập nhật firmware cải thiện tính an toàn của chức năng xác minh mã PIN. Sửa lỗi làm cho việc phát triển một bảng mô tả đáng tin cậy về đầu ra tiêu thụ năng lượng mà ánh xạ với giá trị PIN trở nên khó khăn hơn. Ngay cả nếu một chiếc ví chưa nhận được bản cập nhật, chủ sở hữu KeepKey vẫn có thể thêm một passphrase—thích hợp là trên 37 ký tự—vào ví của họ như là một lớp xác minh thứ hai.

"Thực tế là không có cách nào để ngăn chặn một kẻ tấn công vô cùng tinh vi có sở hữu vật lý của thiết bị, và rất nhiều thời gian, công nghệ và nguồn lực, từ việc hoàn toàn kiểm soát thiết bị đó—cuối cùng," ShapeShift nói trong một tuyên bố tháng 6 năm 2019 trả lời các phát hiện khác của DonJon. "ShapeShift khuyến nghị bạn bảo vệ thiết bị của mình với sự cẩn trọng tương tự như bạn làm với các đầu tư hoặc của quý. Bảo vệ KeepKey của bạn như nó có thể bị đánh cắp vào ngày mai."

Các phát hiện mới khác từ Donjon tập trung vào ví Coldcard Mk2. Cuộc tấn công sẽ khó khăn đối với một hacker thực hiện, vì Coldcard sử dụng bộ nhớ an toàn đặc biệt ngăn chặn loại tấn công side-channel mà các nhà nghiên cứu đã thực hiện đối với ví KeepKey và hạn chế mạnh mẽ việc đoán mã PIN. Nhà sản xuất Coldcard Coinkite thuê ngoại công ty Microchip cung cấp chip từ. Nhưng các nhà nghiên cứu vẫn phát hiện rằng họ có thể sử dụng điều gọi là "cuộc tấn công tiêm lỗi"—một kỹ thuật hack gây ra một lỗi chiến lược kích thích hành vi máy tính không mong muốn, có thể lợi dụng—để buộc chip vào chế độ gỡ lỗi không an toàn. Trong trạng thái này, giới hạn đoán mã PIN của chip không có hiệu lực, có nghĩa là một kẻ tấn công có thể "brute force" mã PIN bằng cách thử mọi kết hợp có thể cho đến khi ví mở khóa.

Để kích thích lỗi đặc biệt này, các nhà nghiên cứu đã sử dụng một cuộc tấn công độc đáo, mặc dù không khả năng tưởng tượng cho một đối thủ có động lực và được tài trợ tốt. Sự tiêm lỗi đến từ việc mở cẩn thận vỏ vật lý của ví Coldcard, ti exposing ra chip an toàn, mài nhẹ nhàng xuống silic không làm hỏng nó, và chiếu một tia laser có công suất cao, chính xác đúng vị trí của chip với đồng hồ định vị chính xác. Thiết bị tiêm lỗi laser có giá khoảng 200,000 đô la và đòi hỏi kỹ năng đặc biệt để vận hành. Thông thường, chúng được sử dụng cho kiểm thử an ninh và hiệu suất trong thẻ thông minh, giống như thẻ tín dụng hoặc hộ chiếu của bạn.

"Đó là một báo cáo tuyệt vời, và rất hứng thú khi thấy mức độ tài nguyên cực kỳ cao được đầu tư vào nghiên cứu sản phẩm của chúng tôi," Coinkite nói trong một tuyên bố về nghiên cứu. "Trước hết là, không có nghiên cứu nào của họ ảnh hưởng đến an ninh của Coldcard Mk3, đó là sản phẩm chúng tôi đang bán hiện nay (và trong năm qua). Sự thay đổi cơ bản đã được thực hiện giữa mark 2 và 3."

Microchip đã đánh dấu tình trạng của yếu tố an toàn được sử dụng trong Coldcard Mk2 là "Không được đề xuất cho thiết kế mới." Các nhà nghiên cứu Donjon chỉ ra rằng chip đã được sử dụng cho an ninh trong các thiết bị IoT khác nhau, mặc dù nó không tạo ra một lỗ hổng trong nhiều trường hợp đó.

Nhiều thời gian và nỗ lực đã được bỏ ra để sản xuất nghiên cứu này. Với việc Ledger là một đối thủ của KeepKey và Coldcard, xung đột tiềm ẩn trong công việc là rõ ràng. Và đội ngũ Donjon có lịch sử tìm và tiết lộ lỗ hổng trong ví của các đối thủ nổi tiếng của mình. Nhưng các nhà nghiên cứu cho biết họ dành phần lớn thời gian tấn công ví Ledger, và khi họ phát hiện ra lỗ hổng đáng chú ý trong sản phẩm của họ, họ vá chúng và sau đó đăng các phân tích chi tiết về các lỗi. Nhóm cũng đã phát mã nguồn hai trong số các công cụ phân tích side-channel, đo lường, và tiêm lỗi của mình để các nhà nghiên cứu khác sử dụng.

Các nhà nghiên cứu Donjon nhấn mạnh rằng điều quan trọng nhất bạn có thể làm để bảo vệ ví điện tử của mình là giữ nó an toàn về mặt vật lý. Nếu bạn lưu trữ một số nghìn đô la giá trị của tiền điện tử, bạn có thể không phải đối mặt với các hacker tội phạm hoặc gián điệp được hậu thuẫn bởi quốc gia xâm nhập vào nhà bạn để chuyển ví của bạn đến phòng thí nghiệm laser hiện đại của họ. Nhưng đáng lưu ý rằng ngay cả khi bạn chủ động ưu tiên an ninh bằng cách chọn một ví điện tử, nó vẫn có thể có nhược điểm.

Đã cập nhật vào ngày 28 tháng 5 năm 2020 lúc 6 giờ chiều giờ Đông Đại Tây Dương với thông tin về vùng an toàn Microchip được sử dụng trong Coldcard Mk2 và các thiết bị khác.

Các câu hỏi thường gặp

Ví điện tử nào an toàn nhất cho tiền điện tử?

Ví điện tử lạnh như KeepKey và Coldcard được coi là an toàn nhất, vì chúng không kết nối với internet, giảm nguy cơ bị tấn công.

Tại sao việc bảo vệ ví điện tử là quan trọng?

Việc bảo vệ ví điện tử quan trọng vì nếu kẻ tấn công có quyền truy cập vật lý, họ có thể lấy cắp mã PIN và tiền của bạn.

Có nên sử dụng mật khẩu cho ví điện tử không?

Có, việc sử dụng mật khẩu dài hơn 37 ký tự là cách hiệu quả để tăng cường bảo mật cho ví điện tử của bạn.

Mã PIN của ví điện tử có thể bị đánh cắp không?

Có, nếu một kẻ tấn công có thể truy cập thiết bị, họ có thể sử dụng các kỹ thuật để xác định mã PIN, như nghiên cứu của Donjon.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]