NIST investigates security flaw in Binance trust wallet’s iOS app

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), một cơ quan trực thuộc Bộ Thương mại Hoa Kỳ, hiện đang xem xét kỹ lưỡng một lỗ hổng cụ thể trong phiên bản iOS của ứng dụng Binance Trust Wallet.

Cuộc kiểm tra này tập trung vào một lỗ hổng bảo mật mà nếu bị khai thác có thể cho phép kẻ tấn công truy cập trái phép và chuyển tiền từ ví tiền điện tử của người dùng. Trọng tâm của cuộc điều tra là cách ứng dụng sử dụng không đúng cách thư viện trezor-crypto để tạo ra các từ ghi nhớ, rất quan trọng để đảm bảo tiền của người dùng, vốn phải được xác thực riêng tại nguồn entropy.

Vấn đề này có điểm tương đồng với tiền lệ vào tháng 7 năm 2023, khi việc khai thác một lỗ hổng tương tự dẫn đến thiệt hại về tài chính. Những nỗ lực hiện tại của NIST nhằm mục đích đánh giá tỉ mỉ khả năng thao túng việc tạo memory (khoá bảo mật) để liên kết chúng một cách gian lận với các địa chỉ ví cụ thể, từ đó tạo điều kiện cho việc rút tiền trái phép. Phân tích quan trọng này, được tiết lộ công khai vào ngày 8 tháng 2, nhằm xác định ý nghĩa thực tế và mức độ ảnh hưởng của lỗ hổng bảo mật.

Đồng thời, cơ sở dữ liệu CVE, được hỗ trợ bởi Bộ An ninh Nội địa Hoa Kỳ , đã bắt đầu một cuộc điều tra về Trust Wallet thông qua Secbit Labs sau một loạt truy cập trái phép vào ví Ether. Cuộc điều tra đã xác định một lỗ hổng trong phiên bản Trust Wallet của nền tảng iOS có từ năm 2018, có liên quan trực tiếp đến các vụ trộm đáng kể được ghi nhận vào ngày 12 tháng 7 năm 2023.

Bất chấp sự im lặng của Binance về những lo ngại bảo mật này, một cuộc điều tra độc lập của Milk Sad đã làm sáng tỏ một rủi ro đáng kể. Quá trình đánh giá đã xác định hơn 6.500 tính năng ghi nhớ ví có nguy cơ tiềm ẩn, xác định lỗ hổng của chúng đối với việc sử dụng các chức năng không an toàn trong thư viện trezor-crypto. Sự phơi nhiễm này có liên quan trực tiếp đến các phương pháp được sử dụng trong vụ trộm Milk Sad , nhấn mạnh tính chất nghiêm trọng của lỗ hổng.

Kết luận điều tra của NIST sẽ đạt đến đỉnh điểm khi ấn định điểm mức độ nghiêm trọng cơ bản cho lỗ hổng của ứng dụng, từ 0 đến 10, phản ánh rủi ro tiềm ẩn mà nó gây ra cho người dùng. Bước này có vai trò then chốt trong việc hướng dẫn người dùng về mức độ nghiêm trọng của lỗ hổng bảo mật.

Các sự kiện gần đây liên quan đến lỗ hổng Trust Wallet không phải là thách thức duy nhất mà Binance gặp phải. Sàn giao dịch tiền điện tử cũng đã giải quyết những tin đồn về rò rỉ hệ thống sau những cáo buộc về X liên quan đến tính khả dụng của dữ liệu người dùng Binance trên GitHub. Để bác bỏ một cách chắc chắn những tuyên bố này, Binance đã trấn an cộng đồng của mình về tính toàn vẹn và an toàn của tài khoản của mình, phủ nhận rõ ràng mọi vi phạm.

Trong khi đó, bản án dành cho người sáng lập Binance, Changpeng Zhao, đã được hoãn lại đến ngày 30 tháng 4 so với ngày 23 tháng 2 ban đầu, theo báo cáo của CNBC. Lý do cho sự chậm trễ này chưa được tiết lộ và luật sư của Zhao cũng từ chối bình luận.

Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News

By Phạm Mạnh Cường

Phạm Mạnh Cường là một doanh nhân và nhà đầu tư Tiền mã hoá. Tác giả đã từng tiên phong giảng dạy Blockchain ở Trường Đại học Kinh tế - Luật, Đại học Quốc gia Hồ Chí Minh. Hiện tại đang là Giám đốc công ty Wischain và Giảng viên công nghệ Blockchain tại Đại học Hutech, Việt Nam. Tác giả đã có bằng Thạc sĩ Khoa học máy tính từ năm 2011 tại Đại học Bách Khoa Hồ Chí Minh. Tính đến nay tác giả đã có kinh nghiệm 7 năm giảng dạy cho sinh viên về công nghệ Blockchain và 8 năm đầu tư trong lĩnh vực Tiền mã hoá từ 2016. Tác giả đã tham gia diễn giả tại hàng trăm hội thảo chất lượng và hiện sở hữu hàng nghìn bài viết tổng hợp, nhận định và chỉnh sửa về Tiền mã hoá và Tiền điện tử chất lượng trên Website và ở nhiều kênh khác.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *