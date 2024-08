Lý do bạn nên tin Techreport Tech Report, ra đời cách đây hơn 25 năm, là một trong những trang web lâu đời nhất chuyên về tin tức phần cứng, đánh giá sản phẩm công nghệ. Sứ mệnh của chúng tôi là cung cấp các hướng dẫn hữu ích, đánh giá sản phẩm khách quan và cập nhật tin tức công nghệ mới nhất.

Các chuyên gia bảo mật vừa đưa ra cảnh báo về một phương pháp tấn công mới tinh vi mà hacker đang sử dụng để đánh cắp cụm từ khôi phục (seed phrase) của ví phần cứng Bitcoin – vốn được xem như chìa khóa vạn năng để truy cập vào toàn bộ số Bitcoin của bạn.

Phương pháp này, được đặt tên là “Dark Skippy”, cho phép hacker xâm nhập vào firmware (phần mềm điều khiển phần cứng) của ví và lén lút nhúng các đoạn mã độc hại vào đó.

Khi bạn thực hiện giao dịch Bitcoin, ví phần cứng sẽ tạo ra một chữ ký điện tử để xác nhận giao dịch đó. Mã độc hại trong firmware sẽ lợi dụng cơ hội này để bí mật chèn thêm một phần thông tin của cụm từ khôi phục vào chính chữ ký này. Mặc dù chữ ký được công khai trên blockchain (sổ cái công khai của Bitcoin), nhưng thông tin về cụm từ khôi phục được mã hóa tinh vi, khiến người dùng bình thường không thể nhận ra.

Tuy nhiên, hacker với công cụ và kỹ thuật đặc biệt có thể quét blockchain, thu thập các chữ ký này và giải mã chúng để dần dần ghép lại toàn bộ cụm từ khôi phục của bạn. Một khi đã có được cụm từ này, chúng có thể dễ dàng truy cập vào ví Bitcoin của bạn và đánh cắp toàn bộ số tiền trong đó.

Điều đáng lo ngại là phương pháp tấn công này rất khó phát hiện. Ví phần cứng của bạn vẫn hoạt động bình thường, không có dấu hiệu bất thường nào. Bạn vẫn có thể thực hiện giao dịch, kiểm tra số dư, v.v. Chỉ đến khi hacker rút sạch tiền trong ví, bạn mới nhận ra mình đã bị tấn công.

Các hacker vừa tìm ra được cách mới để lấy cụm từ khôi phục

Trong cuộc đua không ngừng nghỉ giữa công nghệ blockchain và tiền điện tử với những kẻ xấu luôn tìm cách lợi dụng nó, các hacker ngày càng thể hiện sự tinh vi và sáng tạo của mình trong việc tìm ra những phương thức mới để chiếm đoạt tài sản của người dùng.

Mới đây, một nhóm các nhà nghiên cứu bảo mật đã gióng lên hồi chuông cảnh báo về một phương pháp tấn công mới cực kỳ nguy hiểm, có khả năng đánh cắp cụm từ khôi phục (seed phrase) của ví phần cứng – thứ được xem như “chìa khóa vạn năng” mở ra cánh cửa đến toàn bộ số tiền điện tử mà bạn đang sở hữu.

Today we disclose Dark Skippy – a powerful new method for a malicious signing device to leak secret keys. With a modified signing function, a device can efficiently and covertly exfiltrate a master secret seed by embedding it within transaction signatures. pic.twitter.com/dY543hChfM — nick ☃️ (@utxoclub) August 5, 2024

Phương pháp tấn công này, được đặt tên là “Dark Skippy”, nhắm vào firmware – phần mềm nền tảng điều khiển hoạt động của ví phần cứng. Bằng cách nào đó, hacker sẽ tìm cách cài cắm một đoạn mã độc hại vào firmware này. Đoạn mã này hoạt động âm thầm, không để lại dấu vết, khiến người dùng khó có thể phát hiện ra sự xâm nhập.

Mỗi khi bạn thực hiện một giao dịch Bitcoin, ví phần cứng sẽ tạo ra một chữ ký điện tử để xác nhận giao dịch đó. Đây chính là lúc mã độc “Dark Skippy” phát huy tác dụng. Nó sẽ bí mật “ăn cắp” một phần thông tin từ cụm từ khôi phục của bạn và khéo léo nhúng nó vào trong chữ ký này.

Chữ ký sau đó sẽ được công khai trên blockchain – giống như một cuốn sổ cái ghi lại mọi giao dịch Bitcoin. Tuy nhiên, thông tin về cụm từ khôi phục đã được mã hóa tinh vi, người dùng bình thường sẽ không thể nhận ra.

Nhưng với hacker, chúng có công cụ và kỹ thuật để “đọc” được những thông tin ẩn giấu này. Bằng cách quét blockchain, thu thập các chữ ký giao dịch và giải mã chúng, hacker dần dần ghép nối các mảnh thông tin lại với nhau, cho đến khi có được toàn bộ cụm từ khôi phục của bạn.

Và khi đó, mọi chuyện đã quá muộn. Với cụm từ khôi phục trong tay, hacker có thể dễ dàng truy cập vào ví Bitcoin của bạn từ bất kỳ đâu, chuyển toàn bộ số tiền trong đó đi mất, để lại bạn trắng tay.

The attacker can watch on-chain until they spot an affected transaction, unblind and invert the low entropy nonces using an algorithm like Pollard's Kangaroo algorithm to learn the master secret seed. Then the attacker can wait and steal the funds whenever they decide best. — nick ☃️ (@utxoclub) August 5, 2024

Điều đáng sợ nhất của “Dark Skippy” là nó hoạt động cực kỳ âm thầm và tinh vi. Ví phần cứng của bạn vẫn hoạt động bình thường, không có bất kỳ dấu hiệu bất thường nào. Bạn vẫn có thể thực hiện giao dịch, kiểm tra số dư,… như chưa hề có chuyện gì xảy ra. Chỉ đến khi kiểm tra lại ví và phát hiện toàn bộ số tiền đã “không cánh mà bay”, bạn mới biết mình đã trở thành nạn nhân của một vụ tấn công tinh vi.

Đây là một lời cảnh tỉnh cho tất cả những ai đang sử dụng ví phần cứng để lưu trữ tiền điện tử. Hãy luôn cẩn trọng, chỉ cập nhật firmware từ nguồn chính thức của nhà sản xuất, tuyệt đối không tải bất kỳ phần mềm nào từ các nguồn không đáng tin cậy.

Hãy nhớ rằng, bảo vệ cụm từ khôi phục cũng quan trọng không kém gì bảo vệ chính chiếc ví phần cứng của bạn. Bởi chỉ cần một chút sơ suất, toàn bộ tài sản của bạn có thể biến mất trong phút chốc.

Phòng tránh tối đa khả năng bị hack Dark Skippy

Các nhà nghiên cứu đã mô tả Dark Skippy như một cách thức mới, được cải tiến để khai thác lỗ hổng ví phần cứng hiện có. Mặc dù phương thức tấn công này không phải là mới, nhưng các nhà nghiên cứu tin rằng Dark Skippy hiện là cuộc tấn công tốt nhất đối với các thiết bị ký độc hại.

Despite this attack vector not being new, we believe that Dark Skippy is now the best-in-class attack for malicious signing devices. – The attack is impractical to detect

– Requires no additional communication channels

– Effective on stateless devices

– Exfils master secret — nick ☃️ (@utxoclub) August 5, 2024

Dark Skippy nguy hiểm như thế nào?

Không thể phát hiện: Cuộc tấn công này hoạt động một cách âm thầm và tinh vi, không để lại bất kỳ dấu vết nào trên ví phần cứng của bạn. Bạn vẫn có thể sử dụng ví bình thường, thực hiện giao dịch, kiểm tra số dư,… mà không hề hay biết rằng mình đang bị tấn công.

Cuộc tấn công này hoạt động một cách âm thầm và tinh vi, không để lại bất kỳ dấu vết nào trên ví phần cứng của bạn. Bạn vẫn có thể sử dụng ví bình thường, thực hiện giao dịch, kiểm tra số dư,… mà không hề hay biết rằng mình đang bị tấn công. Không cần kênh liên lạc bổ sung: hacker không cần phải gửi tin nhắn, email hay bất kỳ hình thức liên lạc nào khác để thực hiện cuộc tấn công. Mọi thứ đều diễn ra âm thầm trên blockchain.

hacker không cần phải gửi tin nhắn, email hay bất kỳ hình thức liên lạc nào khác để thực hiện cuộc tấn công. Mọi thứ đều diễn ra âm thầm trên blockchain. Hiệu quả trên các thiết bị không trạng thái: Ngay cả khi bạn sử dụng một thiết bị riêng biệt để tạo cụm từ khôi phục (seed phrase), Dark Skippy vẫn có thể đánh cắp được nó.

Ngay cả khi bạn sử dụng một thiết bị riêng biệt để tạo cụm từ khôi phục (seed phrase), Dark Skippy vẫn có thể đánh cắp được nó. Lấy cắp được seed phrase gốc: Một khi đã có được seed phrase, hacker có toàn quyền kiểm soát ví của bạn và có thể đánh cắp toàn bộ số tiền trong đó.

This attack highlights the importance of verifying and securing your device's firmware, and the danger of sharing stateless signing devices with other people. We will be publicly releasing our code later this year. — nick ☃️ (@utxoclub) August 5, 2024

Làm thế nào để bảo vệ bản thân?

Luôn cập nhật thông tin: Hãy thường xuyên theo dõi các thông tin về bảo mật tiền điện tử để biết về các phương thức tấn công mới nhất và cách phòng tránh chúng.

Hãy thường xuyên theo dõi các thông tin về bảo mật tiền điện tử để biết về các phương thức tấn công mới nhất và cách phòng tránh chúng. Cẩn trọng khi tải phần mềm: Chỉ tải phần mềm và firmware từ các nguồn chính thức và đáng tin cậy.

Chỉ tải phần mềm và firmware từ các nguồn chính thức và đáng tin cậy. Không chia sẻ thiết bị ký: Đừng bao giờ chia sẻ ví phần cứng hoặc thiết bị ký của bạn với bất kỳ ai khác.

Đừng bao giờ chia sẻ ví phần cứng hoặc thiết bị ký của bạn với bất kỳ ai khác. Sử dụng các biện pháp bảo mật bổ sung: Nếu có thể, hãy sử dụng các biện pháp bảo mật bổ sung như xác thực hai yếu tố (2FA) và lưu trữ seed phrase ở một nơi an toàn.

Beyond ensuring your device firmware is genuine and honest (opensource), mitigations include anti-exfil signing protocols and we present some new ideas for additions to PSBT specifications to disrupt this attack. We encourage mitigation discussion and implementation exploration. — nick ☃️ (@utxoclub) August 5, 2024

Các nhà sản xuất ví phần cứng cần làm gì?

Sử dụng khởi động an toàn và khóa giao diện JTAG/SWD: Giúp ngăn chặn hacker cài đặt phần mềm độc hại vào firmware của ví.

Giúp ngăn chặn hacker cài đặt phần mềm độc hại vào firmware của ví. Xây dựng firmware có thể tái tạo và được nhà cung cấp ký: Giúp người dùng dễ dàng xác minh tính xác thực của firmware.

Giúp người dùng dễ dàng xác minh tính xác thực của firmware. Bao gồm các giao thức chống ký vào thiết bị: Các giao thức này sẽ giúp phát hiện và ngăn chặn các cuộc tấn công như Dark Skippy.

Dark Skippy là một mối đe dọa nghiêm trọng đối với tất cả người dùng ví phần cứng. Tuy nhiên, bằng cách thực hiện các biện pháp phòng ngừa cần thiết, bạn có thể giảm thiểu rủi ro bị tấn công và bảo vệ tài sản tiền điện tử của mình. Hãy luôn cảnh giác và chủ động bảo vệ bản thân trong thế giới tiền điện tử đầy rủi ro này.