Theo báo cáo của nhà cung cấp ví tiền điện tử OneKey, một lỗ hổng mới được phát hiện trong thư viện Bitcoin mã nguồn mở được sử dụng rộng rãi đã dẫn đến việc lộ hơn 120.000 khóa riêng tư.
Phân tích OneKey về mức độ ví bị ảnh hưởng
Nhà cung cấp ví xác nhận lỗi ảnh hưởng một số triển khai dùng Libbitcoin Explorer, gồm Trust Wallet Extension v0.0.172–0.0.183 và Trust Wallet Core (đến 3.1.1), nhưng bản 3.1.1 đã được vá.
OneKey dẫn phân tích bảo mật cho thấy PRNG dựa vào entropy có thể dự đoán được, khiến kẻ tấn công có thể tái tạo và chiếm các khóa riêng của ví được tạo vào cùng mốc thời gian.
Do không gian hạt giống nhỏ và thuật toán Mersenne Twister-32 dễ đoán, kẻ tấn công có thể tự động hóa việc xâm phạm hàng loạt ví.
OneKey cho rằng lỗ hổng này có thể liên quan đến các vụ mất tiền bí ẩn như “Milk Sad”, dù người dùng đã tạo ví trong môi trường cách ly.
Kết nối ‘Milk Sad’ không ảnh hưởng đến ví OneKey
bx seed -b 256 | bx mnemonic-new trên Libbitcoin Explorer, tin rằng tạo được 24 từ ngẫu nhiên an toàn. Tuy nhiên, do PRNG lỗi, các cụm từ này có thể đoán được, dẫn đến khóa riêng yếu.Đánh giá lỗ hổng ví phần mềm
OneKey cho biết các tiện ích mở rộng của họ dùng PRNG WebAssembly dựa trên Chromium với CSPRNG bảo mật, tương tự tiêu chuẩn trong trình duyệt và hệ điều hành hiện đại. Ứng dụng Android và iOS cũng sử dụng API CSPRNG tích hợp của hệ thống.
Đội ngũ bảo mật nhấn mạnh tính ngẫu nhiên phụ thuộc vào độ an toàn của thiết bị và môi trường phần mềm; nếu hệ điều hành hay phần cứng bị xâm phạm, entropy có thể yếu đi. OneKey khuyến nghị dùng ví cứng cho lưu trữ dài hạn và không nhập seed từ ví phần mềm vào ví cứng.
