Ví điện tử mang lại nhiều tiện ích trong giao dịch nhưng cũng tiềm ẩn những mối nguy hại ảnh hưởng đến tài sản của bạn
Những lỗ hổng khi giao dịch bằng ví điện tử
SCMP dẫn báo cáo của công ty lưu ký và hạ tầng tài sản kỹ thuật số Fireblocks rằng các lỗ hổng BitForge đang ảnh hưởng đến 15 nhà cung cấp và dự án ví tiền điện tử phổ biến nhất hiện nay. Phát hiện này được trình bày tại hội nghị Black Hat USA ngày 9/8 tại Mỹ.
CEO Changpeng Zhao của Binance – sàn giao dịch tiền số lớn nhất thế giới – sau đó cũng thừa nhận vấn đề trên X. Ông nói lỗ hổng đã được vá và đảm bảo tiền của người dùng không bị ảnh hưởng. Người phát ngôn của Coinbase cũng nói sàn đã giải quyết được vấn đề.
Fireblocks cho biết trên thực tế, lỗ hổng vẫn tồn tại ở một số nhà cung cấp dịch vụ ví tiền điện tử và khoảng 80% người dùng tiền số có thể bị ảnh hưởng. “Nếu không được xử lý, các vụ tấn công quy mô lớn sẽ lan rộng, virus được phát tán trong vài giây mà người dùng hoặc thậm chí nhà cung cấp dịch vụ chưa kịp phát hiện ra”, đại diện Fireblocks nói.
Quảng cáo về tiền điện tử ở một trung tâm thương mại ở Hong Kong. Ảnh:SCMP
Theo CEO Fireblocks Michael Shaulov, điều khiến BitForge trở nên nguy hiểm là nó hoạt động khá đơn giản, tuân theo nguyên tắc của hầu hết cuộc tấn công từng xảy ra. Những gì tội phạm cần chỉ là một phần mềm gián điệp để phát tán virus vào thiết bị người dùng. Một trong những cách phổ biến là gửi email lừa đảo, dụ người dùng cài thêm ứng dụng hoặc cung cấp thông tin cá nhân.
Fireblocks cho biết các nhà cung cấp thừa nhận hệ thống của họ có thể dễ bị tấn công bởi BitForge nhưng không xác định được cụ thể bao nhiêu người dùng bị ảnh hưởng. Giám đốc công nghệ Fireblocks nói: “Phương thức bảo mật MPC phổ biến trong ngành công nghiệp tài sản số, nhưng từ lỗ hổng BitForge, rõ ràng vẫn có những dự án không đủ năng lực để thiết kế MPC cho người dùng. Điều nguy hiểm là cộng đồng tin MPC là an toàn, nhưng thực tế chất lượng của mỗi MPC không đồng nhất”.
Công ty an ninh mạng Check Point của Israel cho biết: “Bằng cách khai thác lỗ hổng, tin tặc có thể giải mã các khóa cá nhân và các cụm từ bí mật (seed phrase) được lưu trữ trong bộ nhớ cục bộ của trình duyệt. Nói cách khác, những kẻ tấn công có thể giành toàn quyền kiểm soát ví của nạn nhân.”
Bằng các hướng tấn công khác nhau như các tiện ích mở rộng, lỗ hổng có thể khiến cho trình duyệt độc hại hoặc những liên kết lừa đảo lấy được các khóa mã hóa của ví và các seed phrase (hạt giống – tập hợp các từ khoá dùng để truy cập ví tiền điện tử) được lưu trữ trong bộ nhớ nội bộ của trình duyệt, sau đó thực hiện tấn công brute-force (thử mật khẩu đúng sai) để rút tiền.
An ninh mạng trong lĩnh vực tài sản kỹ thuật số
An ninh mạng là một trong những lo ngại lớn của chính phủ các nước trong lĩnh vực tài sản kỹ thuật số và giao dịch tiền điện tử. Để giải quyết những rủi ro của người dùng, cơ quan quản lý ở một số quốc gia bắt đầu đưa tài sản kỹ thuật số và nhà cung cấp dưới sự giám sát của luật pháp. Từ tháng 6, sàn giao dịch tiền số ở Hong Kong phải xin giấy phép từ Ủy ban Chứng khoán và Tương lai (SFC) nếu muốn phục vụ khách hàng địa phương. Một trong những điều kiện để được cấp phép là đảm bảo loạt tiêu chuẩn trong lĩnh vực an ninh mạng, chống rửa tiền (AML), quản lý khóa riêng, kiểm tra và kiểm soát nội bộ.
Theo các chuyên gia, lưu ký và an ninh mạng vẫn là mối lo ngại lớn nhất trong không gian tài sản số đang phát triển thần tốc. Các công ty thường bỏ qua ưu tiên về bảo mật. Tội phạm mạng sẽ lợi dụng các lỗ hổng này để tấn công người dùng.
Tại Việt Nam theo Thông tư 23 của Ngân hàng Nhà nước đã quy định rõ người dùng ví điện tử phải cung cấp thông tin định danh nhưng tội phạm thường tìm cách hạn chế cung cấp thông tin cá nhân, hạn chế xác định danh tính. Phía các nhà cung cấp dịch vụ, phía tổ chức cung ứng ví điện tử gặp rất nhiều hạn chế trong việc kiểm tra, đối chiếu, đảm bảo hồ sơ ví một cách hợp lệ. Chính điều này là kẽ hở để tội phạm lợi dụng thực hiện các thanh toán trực tuyến qua ví điện tử khi họ không cung cấp thông tin để xác định danh tính.
Mỗi người dân cần nâng cao cảnh giác khi giao dịch trên ví điện tử để tránh những tổn thất về tài sản.
Duy Trinh (t/h)
https://vietq.vn/nguy-co-mat-tai-san-vi-nhung-lo-hong-tren-vi-dien-tu-d213179.html