Tin tặc đã tìm ra cách lấy khóa riêng từ bất kỳ ví phần cứng nào
Các chuyên gia bảo mật máy tính đã phát hiện ra một cách mới để đánh cắp khóa riêng tư từ ví phần cứng và phương pháp này hoạt động trên mọi thiết bị và chỉ cần hai giao dịch đã ký để đánh cắp khóa. Phương pháp mới được gọi là Dark Skippy. Bất kỳ ví phần cứng nào cũng có nguy cơ gặp rủi ro, nhưng để thực hiện được điều này, người dùng phải tải xuống và cài đặt firmware có mã độc. Chúng có thể được đăng trên các trang web chưa được xác minh trên Internet. Nếu bạn sử dụng chương trình cơ sở từ nhà sản xuất, cụm từ hạt giống từ ví sẽ vẫn an toàn. Tin tặc trước đây đã sử dụng một phương pháp tương tự, nhưng người dùng cần ký hàng chục giao dịch để kẻ tấn công giải mã khóa riêng. Nhưng sử dụng phương pháp Dark Skippy, tin tặc chỉ cần lấy được dữ liệu chỉ từ hai giao dịch. Hơn nữa, theo phương pháp mới, cụm từ hạt giống có thể được lấy ngay cả khi nạn nhân sử dụng thiết bị không thỏa hiệp của bên thứ ba để tạo cụm từ hạt giống. Phương pháp Dark Skippy được báo cáo bởi những người đồng sáng lập nhà sản xuất ví phần cứng Frostsnap, Lloyd Fournier, Nick Farrow và Robin Linus. Theo họ, phần sụn độc hại sẽ nhúng một phần cụm từ hạt giống vào “các trường entropy bí mật có mức entropy thấp”, sau đó được sử dụng để ký các giao dịch. Tin tặc có thể trích xuất các chữ ký này, giải mã chúng bằng Thuật toán Kangaroo của Pollard (một thuật toán để giải bài toán logarit rời rạc) và lấy các phần của cụm từ gốc từ chúng. Frunier, Farrow và Linus khuyên các nhà sản xuất ví phần cứng nên thực hiện các biện pháp bổ sung để bảo vệ thiết bị khỏi việc cài đặt chương trình cơ sở trái phép. Có thể phát triển các giao thức chữ ký đáng tin cậy hơn để loại bỏ khả năng giải mã. Người sở hữu ví cũng cần phải cẩn thận. Cuối năm ngoái, tin tặc đã hack được Ledger Connect Kit cho ví phần cứng Ledger. Một số người dùng bị mất tiền, nhưng công ty hứa sẽ bồi thường khoản lỗ.
#BNB #HackersAttack #Bitcoin #binance #Web3
