Hơn 120.000 ví ngoại tuyến Bitcoin(BTC) có nguy cơ bị tấn công do lỗ hổng bảo mật nghiêm trọng

Hơn 120.000 ví ngoại tuyến bị đe dọa do lỗ hổng nghiêm trọng trong thư viện Bitcoin

Theo CoinDesk đưa tin ngày 20 tháng 1 năm 2024 (giờ địa phương), một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong thư viện lập trình C++ liên quan đến Bitcoin(BTC), khiến hơn 120.000 ví ngoại tuyến (cold wallet) trên toàn cầu đang đứng trước nguy cơ bị tấn công. Vấn đề bắt nguồn từ thuật toán tạo số ngẫu nhiên yếu kém - yếu tố then chốt quyết định mức độ an toàn của các khóa cá nhân trong ví tiền mã hóa.

Trung tâm của sự cố là phiên bản 3.x của công cụ Libbitcoin Explorer (bx), trong đó sử dụng thuật toán *Mersenne Twister-32* để tạo số ngẫu nhiên. Thuật toán này chỉ tạo ra số ngẫu nhiên dựa trên “thời gian hệ thống” với giới hạn 2³² giá trị seed (giá trị khởi tạo), khiến cho độ ngẫu nhiên trở nên cực kỳ thấp. Bình luận từ đội ngũ nghiên cứu bảo mật cho biết, với một máy tính hiệu suất cao, hacker có thể dễ dàng thử hết các “seed khả thi” chỉ trong vài ngày và từ đó khôi phục được khóa cá nhân của người dùng.

Cảnh báo bảo mật này lần đầu được công bố trong vụ việc "Milk Sad" hồi tháng 11 năm 2023, tuy nhiên hiện vẫn còn rất nhiều người dùng chưa cập nhật và đang nằm trong vùng rủi ro. Đặc biệt, những ai đã tạo ví Bitcoin(BTC) từ năm 2017 đến 2023 bằng công cụ bx 3.x hoặc các ứng dụng dẫn xuất như ví Trust Wallet có thể là đối tượng bị nhắm đến.

Một mối nguy hiểm lớn khác đến từ việc các ví được tạo ra từ thư viện này thường sử dụng cơ chế tạo số ngẫu nhiên không đủ mạnh. Điều đó khiến cho tài sản Bitcoin(BTC) trong các ví này dễ dàng bị đánh cắp hơn nhiều lần so với tiêu chuẩn thông thường. Trước làn sóng lo ngại, dịch vụ ví cứng OneKey đã trấn an người dùng trên nền tảng X (Twitter cũ) khi tuyên bố: “Ví cứng và phần mềm của chúng tôi không dựa trên thư viện nói trên, do đó không nằm trong vùng ảnh hưởng”.

Các chuyên gia bảo mật đã gợi ý ba giải pháp cấp thiết mà người dùng nên áp dụng:

- Trước tiên, người dùng cần chuyển toàn bộ Bitcoin(BTC) khỏi các ví cũ hoặc ví được tạo dựa trên thư viện không an toàn, sang các ví sử dụng CSPRNG – *trình tạo số ngẫu nhiên an toàn về mặt mật mã*.

- Kế đến, việc tạo lại seed (cụm từ phục hồi) mới tuân thủ theo tiêu chuẩn BIP39 là cách giúp tăng cường bảo mật cho ví mã hóa.

- Cuối cùng, tất cả các ví giấy (paper wallet) và ví cứng từng sử dụng thư viện lỗi cần được kiểm tra bảo mật và cập nhật phần mềm lên phiên bản mới nhất càng sớm càng tốt.

Bình luận từ giới chuyên gia cho rằng sự cố lần này là một minh họa rõ nét cho rủi ro bảo mật trong ngành blockchain, nơi chỉ với một sai sót nhỏ trong mã nguồn cũng đủ để phá vỡ tính toàn vẹn của hệ thống ví – nền tảng căn bản cho mọi giao dịch. Đây là hồi chuông cảnh báo để cả người dùng lẫn các nhà phát triển ví tiền mã hóa nghiêm túc đánh giá lại thiết kế của mình, đặc biệt là về mặt *tạo số ngẫu nhiên* và kiến trúc bảo mật tổng thể.

Với những diễn biến mới xoay quanh lỗ hổng CSPRNG nói trên, cộng đồng tiền mã hóa càng phải chú ý hơn đến việc lựa chọn công cụ và nền tảng tạo ví, nhằm đảm bảo an toàn cho tài sản Bitcoin(BTC) của mình trong dài hạn.