900.000 đô la “không cánh mà bay” do lỗ hổng từ dự án Bitcoin lâu năm


Vào năm 2011, chỉ 2 năm sau khi Bitcoin được ra mắt, nhà phát triển vô chính phủ người Anh gốc Iran Amir Taakia và một nhóm lập trình viên code nguồn mở đã tạo ra giải pháp thay thế cho Bitcoin Core – phần mềm ban đầu và vẫn là cách phổ biến nhất để kết nối với mạng Bitcoin.

Phần mềm đó được gọi là Libbitcoin, hiện đã phát triển thành một bộ công cụ toàn diện, hay còn gọi là thư viện dành cho các chức năng quan trọng như giao tiếp với blockchain Bitcoin và tạo khóa mật mã.

Nó thậm chí còn được giới thiệu trong cuốn sách nổi tiếng và được cho là kinh điển “Mastering Bitcoin” của nhà giáo dục Bitcoin Andreas Antonopoulos.

Nhưng sau khi khoảng 900.000 đô la biến mất khỏi ví của nhiều người dùng trong vài tháng qua, Libbitcoin từng được cho là an toàn hóa ra lại không như vậy.

Theo một báo cáo trên milksad.info trong đó trình bày chi tiết những phát hiện của Distrust, công ty bảo mật đã phát hiện lỗ hổng vào tháng 7, với sự hỗ trợ của một nhóm cộng tác viên độc lập.

Vào một thời điểm nào đó trong tháng 5, hacker đã bắt đầu bí mật đánh cắp tiền từ những người dùng nhẹ dạ sau khi phát hiện lỗ hổng khó hiểu trong một số ví do trình khám phá Libbitcoin tạo ra, có tên là BX.

Báo cáo cho biết lỗ hổng này được đặt tên là “Milk Sad” vì “milk” và “sad” là hai từ đầu tiên trong cụm từ hạt giống khôi phục ví do lỗ hổng này tạo ra.

Vụ trộm lớn nhất đã lấy đi 29,65 BTC trị giá khoảng 870.000 đô la theo tỷ giá hiện tại, diễn ra vào ngày 12/7. Distrust cho biết tổng cộng ít nhất 900.000 đô la đã bị đánh cắp trên nhiều blockchain, bao gồm từ một số trong khoảng 2.600 ví Bitcoin bị lỗ hổng ảnh hưởng.

Theo tweet ngày 8/8 của nhà phân tích Anton Livaja thuộc team Distrust, ví phần cứng như Trezor và Ledger dường như không bị thiệt hại, nhưng vẫn có một số ví gặp rủi ro và toàn bộ số tiền bị đánh cắp “vẫn chưa được xác định”.

BX đi kèm với lệnh văn bản “bx seed” sử dụng đồng hồ trên máy tính của nhà phát triển để tạo cụm từ gốc trong quá trình tạo ví.

Phần mềm tiền điện tử sử dụng các kết hợp ngẫu nhiên từ 12 đến 24 từ hoặc cung cấp cụm từ gốc cho những người dùng muốn “khôi phục” hoặc lấy lại quyền truy cập vào ví của họ trong trường hợp vô tình làm mất.

Nhưng khi sử dụng BX, cụm từ kết quả hóa ra không đủ ngẫu nhiên. Theo báo cáo, “một PC chơi game tốt có thể thực hiện tìm kiếm kiểu tấn công brute-force”, được hiểu là đoán tất cả các tổ hợp từ có thể có cho cụm từ hạt giống của người dùng “trong vòng chưa đầy một ngày”.

Báo cáo cho biết:

“Hãy coi đây là bảo vệ tài khoản ngân hàng trực tuyến của bạn bằng một trình quản lý mật khẩu tạo mật khẩu dài ngẫu nhiên. Nhưng nó thường tạo ra những mật khẩu giống nhau cho mọi người dùng. Những kẻ ác ý đã phát hiện ra điều này và rút tiền trên bất kỳ tài khoản nào mà chúng có thể tìm thấy”.

Ethereum, Zcash, Solana, Dogecoin bị ảnh hưởng

Milk Sad không chỉ xảy ra ở Bitcoin. Ethereum, Zcash, Solana và thậm chí cả Dogecoin cũng nằm trong danh sách 8 blockchain bị ảnh hưởng. Các lỗ hổng tương tự nhưng không giống hệt đã được phát hiện trong Cake WalletTrust Wallet, cả hai đều là ứng dụng ví đa chain.

Thông thường, các cụm từ gốc được tạo bằng cách sử dụng trình tạo có khả năng sản xuất một tập hợp hoặc “không gian khóa” với số lượng kết hợp từ duy nhất được biểu thị bằng số mũ của một chữ số nhị phân hoặc “bit” – về cơ bản là lũy thừa 2 bậc 128, 192 hoặc 256.

BX có không gian khóa 32-bit ít ỏi, chỉ có thể tạo ra khoảng 4,3 tỷ tổ hợp từ duy nhất.

“Con số đó không cho thấy nhiều sự kết hợp như vẻ ngoài”, báo cáo nhận xét.

Eric Voskuil, nhà phát triển chính của BX, thừa nhận trình tạo cụm từ hạt giống thực sự không an toàn, nhưng khẳng định không có lỗi trong phần mềm, đồng thời cho rằng lệnh bx seed text đã bị lạm dụng. Anh đã tweet một ảnh chụp màn hình tài liệu GitHub của ứng dụng để cảnh báo các nhà phát triển về lỗ hổng bảo mật.

Bitcoin

Nguồn: Eric Voskuil

“Đây không phải là lỗi trong BX hay Libbitcoin. Đó là do phát triển ví liều lĩnh”, Voskuil đã tweet.

Tuy nhiên, một số nhà mật mã học trong cộng đồng Bitcoin cho rằng không có gì khác biệt. Tim Ruffing, nhà mật mã học tại công ty cơ sở hạ tầng Bitcoin Blockstream đã tweet:

“Vụ việc rất rõ ràng. Đó là lỗi của bạn, chấm hết”.

  

Minh Anh

Theo Coindesk

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *