SCMP dẫn báo cáo của công ty lưu ký và hạ tầng tài sản kỹ thuật số Fireblocks rằng các lỗ hổng BitForge đang ảnh hưởng đến 15 nhà cung cấp và dự án ví tiền điện tử phổ biến nhất hiện nay. Phát hiện này được trình bày tại hội nghị Black Hat USA ngày 9/8 tại Mỹ.
CEO Changpeng Zhao của Binance - sàn giao dịch tiền số lớn nhất thế giới - sau đó cũng thừa nhận vấn đề trên X. Ông nói lỗ hổng đã được vá và đảm bảo tiền của người dùng không bị ảnh hưởng. Người phát ngôn của Coinbase cũng nói sàn đã giải quyết được vấn đề.
Fireblocks cho biết trên thực tế, lỗ hổng vẫn tồn tại ở một số nhà cung cấp dịch vụ ví tiền điện tử và khoảng 80% người dùng tiền số có thể bị ảnh hưởng. "Nếu không được xử lý, các vụ tấn công quy mô lớn sẽ lan rộng, virus được phát tán trong vài giây mà người dùng hoặc thậm chí nhà cung cấp dịch vụ chưa kịp phát hiện ra", đại diện Fireblocks nói.
BitForge nhắm đến các giao thức tính toán đa bên (MPC). Trong giao dịch tiền mã hóa, MPC chia khóa riêng tư thành nhiều phần, được phân tán trên các thiết bị khác nhau nhằm hạn chế khả năng lộ toàn bộ mã khóa. Về mặt lý thuyết, việc này giúp ví điện tử bảo mật cao hơn, nhưng lỗ hổng BitForge lại cho phép kẻ tấn công xem toàn bộ khóa sau 16 giao dịch, tức diễn ra chỉ trong vài giây đối với các ví thường xuyên giao dịch. Lỗ hổng cho phép tội phạm mạng có thể rút toàn bộ tiền trong ví của người dùng.
Theo CEO Fireblocks Michael Shaulov, điều khiến BitForge trở nên nguy hiểm là nó hoạt động khá đơn giản, tuân theo nguyên tắc của hầu hết cuộc tấn công từng xảy ra. Những gì tội phạm cần chỉ là một phần mềm gián điệp để phát tán virus vào thiết bị người dùng. Một trong những cách phổ biến là gửi email lừa đảo, dụ người dùng cài thêm ứng dụng hoặc cung cấp thông tin cá nhân.
An ninh mạng là một trong những lo ngại lớn của chính phủ các nước trong lĩnh vực tài sản kỹ thuật số và giao dịch tiền điện tử. Để giải quyết những rủi ro của người dùng, cơ quan quản lý ở một số quốc gia bắt đầu đưa tài sản kỹ thuật số và nhà cung cấp dưới sự giám sát của luật pháp. Từ tháng 6, sàn giao dịch tiền số ở Hong Kong phải xin giấy phép từ Ủy ban Chứng khoán và Tương lai (SFC) nếu muốn phục vụ khách hàng địa phương. Một trong những điều kiện để được cấp phép là đảm bảo loạt tiêu chuẩn trong lĩnh vực an ninh mạng, chống rửa tiền (AML), quản lý khóa riêng, kiểm tra và kiểm soát nội bộ.
Theo các chuyên gia, lưu ký và an ninh mạng vẫn là mối lo ngại lớn nhất trong không gian tài sản số đang phát triển thần tốc. Các công ty thường bỏ qua ưu tiên về bảo mật. Tội phạm mạng sẽ lợi dụng các lỗ hổng này để tấn công người dùng.
Fireblocks cho biết các nhà cung cấp thừa nhận hệ thống của họ có thể dễ bị tấn công bởi BitForge nhưng không xác định được cụ thể bao nhiêu người dùng bị ảnh hưởng. Giám đốc công nghệ Fireblocks nói: "Phương thức bảo mật MPC phổ biến trong ngành công nghiệp tài sản số, nhưng từ lỗ hổng BitForge, rõ ràng vẫn có những dự án không đủ năng lực để thiết kế MPC cho người dùng. Điều nguy hiểm là cộng đồng tin MPC là an toàn, nhưng thực tế chất lượng của mỗi MPC không đồng nhất".
