Ngày 14/11, Unciphered, công ty chuyên thu hồi các loại tiền số bị mắc kẹt trong các ví, công bố lỗ hổng Randstorm, bắt nguồn từ các chương trình tạo khóa mật mã ngẫu nhiên cho ví. Mã khóa là những từ được tạo ngẫu nhiên, thường là 12 hoặc 24 từ, dùng để mở khóa ví tiền số. Nếu mất cụm từ "hạt giống" này, số tiền bên trong cũng vĩnh viễn không lấy lại được.
Theo nhóm nghiên cứu, Randstorm chỉ cho phép trình tạo cụm từ mã khóa chạy ngẫu nhiên từ hàng nghìn từ đầu vào được chọn, thay vì hàng triệu từ như những trình tạo ví hiện đại hơn. Đây là lý do khiến ví đời cũ dễ bị tấn công hơn.
Unciphered phát hiện lỗ hổng khi tìm cách lấy lại mã khóa cho Nick Sullivan, người nắm giữ số Bitcoin trị giá 600.000 USD tính theo tỷ giá hiện tại nhưng để quên cụm từ mở khóa.
Là một trong những tín đồ Bitcoin từ thời kỳ đầu, Sullivan đã tạo ví trên trang Blockchain.info, hiện đổi tên thành Blockchain.com, vào năm 2014. Tuy nhiên, ông sau đó xóa sạch ổ cứng máy tính và xóa luôn cụm từ "hạt giống" của mình.
Tháng 1/2022, Unciphered được Sullivan liên hệ tìm lại mã khóa đã mất thông qua ổ cứng. Lần về các công nghệ tạo mã khóa trước đây, Unciphered phát hiện trình tạo mã khóa ví tiền số được lấy từ một công cụ do nhà phát triển phần mềm người Đức Stefan Thomas tạo ra, gọi là BitcoinJS. Đầu tháng 11, người này thừa nhận với Washington Post rằng phần mềm được sử dụng để tạo ví có một phần mã lập trình lấy từ website dành cho sinh viên Đại học Stanford mà không kiểm tra kỹ. Ông cũng mất hơn 7.000 Bitcoin và đang thuê người tìm lại mã khóa ví.
Theo Unciphered, BitcoinJS được sử dụng trên Blockchain.info và nhiều website tiền số khác từ 2011, gồm cả Dogechain.info - trang dự án của tiền số Dogecoin. "BitcoinJS đã gặp vấn đề nghiêm trọng. Bất cứ ai trực tiếp sử dụng nó cho đến tháng 2/2014 đều có nguy cơ bị tấn công cao", Eric Michaud, người đồng sáng lập Unciphered, nói. "Mọi thứ được cải thiện sau thời gian này, nhưng phải đến 2016, vấn đề mới được khắc phục triệt để".
Michaud cho biết các ví được tạo trước tháng 3/2012 dễ bị tổn thương nhất. Chúng hiện chứa khoảng 100 triệu USD tiền số, có thể bị tấn công chỉ bằng máy tính cá nhân. Tiếp đến là số ví tạo từ tháng 3/2012 đến cuối 2015, chứa khoảng 50 tỷ USD tiền số.
"Tổng cộng, hơn 1,1 triệu địa chỉ ví tiền số gặp rủi ro", Michaud nói. "Nếu còn truy cập được những ví này, người dùng nên chuyển tiền số của mình qua địa chỉ mới".
Ví tiền số của Sullivan không nằm trong diện gặp lỗ hổng bảo mật, dù được khởi tạo từ 2015 và ông chưa thể lấy lại số Bitcoin của mình. Hiện ông là sáng lập và điều hành ba công ty về AI.
Ý kiến ()