Ngày 31/01 vừa rồi, Kraken Security Labs đã tiết lộ ví cứng Trezor và các công cụ liên quan của chúng có thể bị hack để trích xuất khóa riêng (Private Key). Mặc dù thủ tục này khá phức tạp, Kraken tuyên bố rằng “chỉ cần 15 phút truy cập vật lý vào thiết bị.”
Cuộc tấn công đòi hỏi phải có sự can thiệp vật lý vào ví Trezor bằng cách trích xuất chip của nó và đặt nó lên một thiết bị đặc biệt hoặc xử lý một số mạch quan trọng.
Sau đó, chip Trezor phải được kết nối với một thiết bị có thể gửi tín hiệu vào một thời điểm cụ thể. Các thiết bị này phá vỡ tính năng bảo vệ tích hợp để ngăn bộ nhớ chip bị đọc bởi các thiết bị bên ngoài.
Thủ thuật cho phép kẻ tấn công đọc các tham số ví quan trọng, bao gồm cả khóa riêng.
Mặc dù seed được mã hóa bằng khóa PIN thay đổi liên tục nhưng các nhà nghiên cứu đã có thể bẻ khóa này chỉ trong hai phút.
Lỗ hổng gây ra bởi phần cứng của ví Trezor, có nghĩa là công ty không thể dễ dàng sửa chữa nó. Nó sẽ cần phải thiết kế lại hoàn toàn ví và thu hồi tất cả các thiết bị hiện có.
Trong khi đó, Kraken kêu gọi người dùng Trezor và KeepKey không cho phép bất kỳ ai truy cập vào ví vật lý.
Trong một công bố bởi Trezor, họ đã giảm thiểu tác động của lỗ hổng. Công ty lập luận rằng cuộc tấn công sẽ phát ra dấu hiệu giả mạo có thể nhìn thấy do cần phải mở thiết bị, đồng thời việc tấn công đòi hỏi phần cứng chuyên dụng để thực hiện.
Cuối cùng, đội ngũ Trezor đề nghị người dùng kích hoạt tính năng cụm mật khẩu (passphrase) của ví để bảo vệ khỏi các cuộc tấn công như vậy. Mật khẩu không nên lưu trữ trên thiết bị vì nó được thêm vào Seed để tạo khóa riêng khi truy cập. Kraken cũng lưu ý rằng đây là một giải pháp thay thế khả thi tạm thời.
Tính năng này cũng tăng cường trách nhiệm của mỗi người dùng. Cụm mật khẩu cần phải đủ phức tạp để không dễ dàng bị tấn công và nếu quên nó sẽ dẫn đến việc khóa hoàn toàn người dùng khỏi tiền của họ.
Cointelegraph đã liên hệ với Kraken để biết thêm chi tiết, nhưng không nhận được phản hồi kể từ thời điểm đăng bài. Bài viết sẽ được cập nhật khi có thêm thông tin.
Tuấn Nguyễn | CoinTelegraph
