Vào năm 2025, thế giới tiền điện tử tiếp tục chứng kiến sự phát triển mạnh mẽ cùng với đó là những thách thức về bảo mật không ngừng gia tăng. Mới đây, một sự cố bảo mật nghiêm trọng đã được báo cáo bởi nhà cung cấp ví tiền điện tử OneKey, khi hơn 120.000 khóa riêng tư Bitcoin bị lộ do lỗ hổng trong thư viện Bitcoin mã nguồn mở Libbitcoin Explorer (bx) 3.x.
Chi Tiết Về Lỗ Hổng
Libbitcoin Explorer, một công cụ được sử dụng rộng rãi trong việc phát triển ứng dụng tiền điện tử, đã dùng thuật toán PRNG Mersenne Twister-32 chỉ được khởi tạo bằng thời gian hệ thống, dẫn đến việc không thực sự ngẫu nhiên. Không gian hạt giống của thuật toán này chỉ có 232 khả năng, cho phép kẻ tấn công có thể dự đoán hoặc ước lượng thời điểm tạo ví và từ đó tái tạo chuỗi số ngẫu nhiên để lấy được khóa riêng và truy cập vào tiền trong ví.
Phân Tích Mức Độ Ảnh Hưởng
Theo OneKey, lỗi này ảnh hưởng đến một số triển khai sử dụng Libbitcoin Explorer, bao gồm Trust Wallet Extension từ phiên bản 0.0.172 đến 0.0.183 và Trust Wallet Core đến phiên bản 3.1.1, dù phiên bản 3.1.1 đã được vá lỗi. Vụ việc này cũng có thể liên quan đến các vụ mất tiền bí ẩn như “Milk Sad”, mặc dù người dùng đã tạo ví trong môi trường cách ly.
Đánh Giá Lỗ Hổng Ví Phần Mềm
OneKey cho biết các tiện ích mở rộng của họ sử dụng PRNG WebAssembly dựa trên Chromium với CSPRNG bảo mật, tương tự như các tiêu chuẩn an toàn trong trình duyệt và hệ điều hành hiện đại. Các ứng dụng Android và iOS của họ cũng sử dụng API CSPRNG tích hợp của hệ thống, nhằm đảm bảo tính ngẫu nhiên và an toàn cho người dùng.
Khuyến Nghị Bảo Mật Từ OneKey
Trong bối cảnh hiện tại, OneKey khuyến nghị người dùng nên sử dụng ví cứng cho việc lưu trữ dài hạn và tránh nhập seed từ ví phần mềm vào ví cứng. Điều này giúp tăng cường bảo mật và hạn chế rủi ro mất mát tiền điện tử do các lỗ hổng phần mềm có thể xảy ra.
Bên cạnh đó, việc sử dụng các thiết bị và phần mềm đã được kiểm định bảo mật cao cũng là một yếu tố quan trọng để đảm bảo an toàn cho tài sản số của bạn. Với các tiêu chuẩn bảo mật như EAL6+, người dùng có thể yên tâm hơn về khả năng bảo vệ khóa riêng và các thông tin quan trọng khác.
Việc tăng cường bảo mật và cập nhật thường xuyên các phần mềm ví tiền điện tử là hết sức cần thiết, đặc biệt trong bối cảnh tội phạm mạng ngày càng tinh vi. Hãy luôn cập nhật các bản vá lỗi mới nhất và theo dõi các thông báo bảo mật từ nhà cung cấp ví để bảo vệ tài sản số của mình một cách tốt nhất.
Lưu ý: Bài viết này tổng hợp thông tin công khai từ nhiều nguồn. MEXC không xác nhận hoặc đảm bảo tính chính xác của nội dung từ bên thứ ba. Người đọc nên tự nghiên cứu trước khi đưa ra quyết định đầu tư hoặc tham gia.
Tham gia MEXC và bắt đầu giao dịch ngay hôm nay!
