Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST), một cơ quan trực thuộc Bộ Thương mại Hoa Kỳ, hiện đang xem xét kỹ lưỡng một lỗ hổng cụ thể trong phiên bản iOS của ứng dụng Binance Trust Wallet.
Cuộc kiểm tra này tập trung vào một lỗ hổng bảo mật mà nếu bị khai thác có thể cho phép kẻ tấn công truy cập trái phép và chuyển tiền từ ví tiền điện tử của người dùng. Trọng tâm của cuộc điều tra là cách ứng dụng sử dụng không đúng cách thư viện trezor-crypto để tạo ra các từ ghi nhớ, rất quan trọng để đảm bảo tiền của người dùng, vốn phải được xác thực riêng tại nguồn entropy.
Vấn đề này có điểm tương đồng với tiền lệ vào tháng 7 năm 2023, khi việc khai thác một lỗ hổng tương tự dẫn đến thiệt hại về tài chính. Những nỗ lực hiện tại của NIST nhằm mục đích đánh giá tỉ mỉ khả năng thao túng việc tạo memory (khoá bảo mật) để liên kết chúng một cách gian lận với các địa chỉ ví cụ thể, từ đó tạo điều kiện cho việc rút tiền trái phép. Phân tích quan trọng này, được tiết lộ công khai vào ngày 8 tháng 2, nhằm xác định ý nghĩa thực tế và mức độ ảnh hưởng của lỗ hổng bảo mật.
Đồng thời, cơ sở dữ liệu CVE, được hỗ trợ bởi Bộ An ninh Nội địa Hoa Kỳ , đã bắt đầu một cuộc điều tra về Trust Wallet thông qua Secbit Labs sau một loạt truy cập trái phép vào ví Ether. Cuộc điều tra đã xác định một lỗ hổng trong phiên bản Trust Wallet của nền tảng iOS có từ năm 2018, có liên quan trực tiếp đến các vụ trộm đáng kể được ghi nhận vào ngày 12 tháng 7 năm 2023.
Bất chấp sự im lặng của Binance về những lo ngại bảo mật này, một cuộc điều tra độc lập của Milk Sad đã làm sáng tỏ một rủi ro đáng kể. Quá trình đánh giá đã xác định hơn 6.500 tính năng ghi nhớ ví có nguy cơ tiềm ẩn, xác định lỗ hổng của chúng đối với việc sử dụng các chức năng không an toàn trong thư viện trezor-crypto. Sự phơi nhiễm này có liên quan trực tiếp đến các phương pháp được sử dụng trong vụ trộm Milk Sad , nhấn mạnh tính chất nghiêm trọng của lỗ hổng.
Kết luận điều tra của NIST sẽ đạt đến đỉnh điểm khi ấn định điểm mức độ nghiêm trọng cơ bản cho lỗ hổng của ứng dụng, từ 0 đến 10, phản ánh rủi ro tiềm ẩn mà nó gây ra cho người dùng. Bước này có vai trò then chốt trong việc hướng dẫn người dùng về mức độ nghiêm trọng của lỗ hổng bảo mật.
Các sự kiện gần đây liên quan đến lỗ hổng Trust Wallet không phải là thách thức duy nhất mà Binance gặp phải. Sàn giao dịch tiền điện tử cũng đã giải quyết những tin đồn về rò rỉ hệ thống sau những cáo buộc về X liên quan đến tính khả dụng của dữ liệu người dùng Binance trên GitHub. Để bác bỏ một cách chắc chắn những tuyên bố này, Binance đã trấn an cộng đồng của mình về tính toàn vẹn và an toàn của tài khoản của mình, phủ nhận rõ ràng mọi vi phạm.
Trong khi đó, bản án dành cho người sáng lập Binance, Changpeng Zhao, đã được hoãn lại đến ngày 30 tháng 4 so với ngày 23 tháng 2 ban đầu, theo báo cáo của CNBC. Lý do cho sự chậm trễ này chưa được tiết lộ và luật sư của Zhao cũng từ chối bình luận.
Tổng hợp và chỉnh sửa: ThS Phạm Mạnh Cường
Theo Crypto News