Không hẹn mà gặp, cả hai hãng ví cứng Trezor và Ledger đều đang phải đối mặt với các vấn đề liên quan đến tính bảo mật và an toàn của ví.
Hai hãng ví cứng Trezor và Ledger vướng phải tranh cãi về tính bảo mật
Theo báo cáo bảo mật của hãng phần mềm chống virus Kaspersky được Wu Blockchain đưa tin lại, một người dùng vừa trở thành nạn nhân của vụ lừa đảo vô cùng tinh vi liên quan đến ví Trezors.
Case: The victim purchased the popular hardware wallet Trezor Model T from a trusted seller through a well-known classified advertising website. It looks exactly the same as a normal wallet, and all functions can also work normally. But it was found that the microcontroller had…
— Wu Blockchain (@WuBlockchain) May 16, 2023
Cụ thể, người dùng xấu số đã đặt mua một chiếc ví cứng Trezor Model T thông qua trang web bán hàng được quảng cáo vô cùng uy tín và nổi tiếng. Chiếc ví nhận được hoàn toàn giống như ví "hàng thật giá thật", hoạt động trơn tru và đầy đủ chức năng.
Nhưng đến khi nạn nhân chuyển BTC của mình vào ví thì số crypto đó đã bị chuyển ra ngay lập tức!
Người dùng chuyển BTC vào ví và bị chuyển đi ngay lập tức
Đội ngũ Kaspersky ban đầu cũng không tìm thấy điểm khác biệt nào giữa ví fake và ví thật vì bề ngoài hoàn toàn giống nhau. Đến khi họ mở ví ra để kiểm tra phần cứng thì mới phát hiện vi điều khiển (MCU - microcontroller unit) của ví đã bị tráo đổi.
Bên trái: Ví Trezor thật - Bên phải: Ví Trezor fake. Nguồn: Kaspersky
Khác với trường hợp mua hàng fake kể trên, ví Ledger đang vướng phải nhiều nghi vấn xoay quanh tính năng mới tích hợp của mình là social recovery.
Cụ thể, social recovery là cập nhật mới của ví Ledger Nano X, mã hóa chuỗi seed phrase thành 3 phân đoạn và gửi đến 3 thực thể/tổ chức khác nhau. Ba bên này sau đó có thể ghép lại thành chuỗi seed hoàn chỉnh để người dùng có thể xác minh ID.
Ledger just released a new update for Nano X that allows social recovery of your seed phrase.
— Mudit Gupta (@Mudit__Gupta) May 16, 2023
It encrypts your seed in 3 shards and sends it to different entities that can then reconstruct the seed for you post ID verification.
It's a horrendous idea, DON'T enable this feature. pic.twitter.com/2E1GSuYN5r
Ý tưởng về tính năng phân quyền cho ví như vậy rất đáng hoan nghênh. Nhưng người dùng nghi vấn rằng tại sao Ledger có thể mã hóa seed phrase của người dùng và gửi nó ra ngoài - trong khi họ không yêu cầu người dùng nhập lại seed phrase khi bật tính năng social recovery?
Ví cứng như Ledger và Trezor là ví phi lưu ký (non-custodial), không có bên nào có quyền lưu trữ, truy cập và sử dụng ví của người dùng. Do đó, việc Ledger có thể gửi seed phrase ra ngoài làm cộng đồng hoài nghi là Ledger vốn dĩ đã lưu trữ thông tin seed phrase này từ trước?
Thêm một bằng chứng nữa là Ledger cập nhật thêm social recovery vào các ví Nano X đã sản xuất từ trước - chứ không phải ở các ví sắp sản xuất ra. Nghĩa là ẩn trong các dòng ví của hãng từ trước đến nay đã có một backdoor (cửa hậu) lưu lại seed phrase, nên đến nay chỉ cần cập nhật thêm là đã có thể gọi ra thông tin đó để mã hóa?
Phía Ledger chưa đưa ra phản hồi chính thức nào về các thông tin bất lợi này.
Tuy nhiên, cá nhân nhà đồng sáng lập Ledger đã có vài bình luận gây tranh cãi trong cộng đồng Reddit.
Cụ thể, khi một người dùng đặt câu hỏi về việc "Ledger có cửa hậu hay không?" thì tài khoản btchip của đồng sáng lập Ledger đã trả lời rằng:
"Các key của bạn luôn được lưu trữ trong thiết bị và không bao giờ chuyển đi."
Nhưng sau đó lại bình luận trái ngược rằng:
"Thiết bị gửi đi các phân đoạn được mã hóa của seed phrase đến các công ty khác nhau nếu bạn sử dụng tính năng social recovery."
Vậy là key vẫn có thể được chuyển đi hay không?
Nhà đồng sáng lập này còn khẳng định là không có backdoor nhưng "không thể chứng minh được". (?!)
Có vẻ như Ledger nên đưa ra một tuyên bố chính thức về vấn đề để giải đáp thắc mắc của cộng đồng hơn là chỉ đi bình luận rải rác trong Reddit như vậy.
Coincuatui tổng hợp
Có thể bạn quan tâm:
Nguồn: Coin68