Các nhà nghiên cứu bảo mật của Ledger vừa phát hiện một lỗ hổng nghiêm trọng trên hệ điều hành Android có thể cho phép tin tặc đánh cắp mã khóa bí mật (seed pharse) của ví tiền điện tử chỉ trong vài giây. Phát hiện này làm dấy lên lo ngại rằng điện thoại thông minh, vốn được hàng triệu người sử dụng để lưu trữ tài sản số, không được thiết kế với các lớp bảo mật đủ mạnh để bảo vệ khóa riêng của người dùng.
Lỗ hổng MediaTek
Nhóm nghiên cứu bảo mật Donjon của Ledger cho biết họ đã phát hiện các lỗ hổng trong bộ xử lý do MediaTek sản xuất, loại chip được sử dụng phổ biến trên nhiều dòng điện thoại Android. Theo nhóm nghiên cứu, lỗ hổng này có thể cho phép các tác nhân độc hại trích xuất dữ liệu nhạy cảm như mã PIN của điện thoại và cụm từ khôi phục ví tiền điện tử.
Điều đáng chú ý là cuộc tấn công được cho là có thể xảy ra ngay cả khi thiết bị đã tắt nguồn. Trong quá trình thử nghiệm bằng chứng khái niệm (proof-of-concept), các nhà nghiên cứu đã thành công trong việc thu thập dữ liệu từ một số ví tiền điện tử phổ biến như Trust Wallet, Kraken Wallet và Phantom.
Ông Charles Guillemet, Giám đốc Công nghệ của Ledger, nhận định phát hiện này là lời nhắc nhở rằng điện thoại thông minh không được thiết kế để đóng vai trò là thiết bị bảo mật chuyên dụng. Theo ông, lỗ hổng có thể ảnh hưởng đến “hàng triệu” thiết bị Android trên toàn cầu, đặc biệt khi nền tảng này đang chiếm phần lớn thị phần smartphone nhờ chi phí thấp và khả năng tiếp cận rộng rãi.
Sau khi nhận được báo cáo, MediaTek đã tiến hành triển khai bản vá để khắc phục lỗ hổng. Trong khi đó, Trust Wallet cũng giới thiệu một tính năng bảo mật mới nhằm ngăn chặn các hành vi can thiệp vào địa chỉ ví tiền điện tử.
Ví nóng vẫn phổ biến dù tiềm ẩn rủi ro
Trên thị trường tiền mã hóa, các ví phần cứng như Ledger hay Trezor thường được xem là lựa chọn an toàn hơn so với ví phần mềm. Lý do là các thiết bị này sử dụng chip bảo mật chuyên biệt, tách biệt với bộ xử lý chính của điện thoại hoặc máy tính, giúp giảm nguy cơ bị tấn công từ phần mềm độc hại.
Tuy vậy, các ví nóng vẫn chiếm ưu thế trong cộng đồng người dùng tiền điện tử. Theo các ước tính gần đây, khoảng 78% người nắm giữ tài sản số vẫn lựa chọn ví nóng do tính tiện lợi, chi phí thấp và dễ sử dụng. Ngay cả các giải pháp lưu trữ lạnh cũng không hoàn toàn miễn nhiễm với rủi ro. Trong nhiều trường hợp, tài sản số bị đánh cắp không phải do lỗi kỹ thuật mà đến từ các cuộc tấn công kỹ thuật xã hội, can thiệp chuỗi cung ứng hoặc sự bất cẩn của người dùng.
Một ví dụ đáng chú ý là vụ việc cơ quan thuế Hàn Quốc vô tình công bố cụm từ khôi phục của một ví cứng đã bị tịch thu. Ngoài ra, các vụ cướp nhằm vào nhà đầu tư tiền điện tử cũng đang gia tăng, điển hình là vụ một cặp vợ chồng người Pháp bị cướp gần 1 triệu USD Bitcoin.
Không chỉ Android, hệ sinh thái của Apple cũng từng đối mặt với các rủi ro bảo mật liên quan đến tiền điện tử. Trước đây, lỗ hổng Coruna đã được phát hiện có thể khai thác dữ liệu nhạy cảm trên các phiên bản cũ của iOS.
Các chuyên gia bảo mật cho rằng khóa riêng của người dùng vẫn có thể bị đánh cắp trong nhiều trường hợp khác nhau, chẳng hạn khi vận hành một nút mạng hoặc khi thiết bị bị truy cập vật lý. Vì vậy, một trong những giải pháp được khuyến nghị là sử dụng ví đa chữ ký (multi-signature wallet), trong đó cần nhiều khóa khác nhau để thực hiện giao dịch.
Mô hình này giúp giảm đáng kể rủi ro mất toàn bộ tài sản nếu một thiết bị hoặc một khóa riêng bị xâm phạm, qua đó được xem là một trong những phương pháp lưu trữ tiền điện tử an toàn nhất hiện nay.
