Không hẹn mà gặp, cả hai hãng ví cứng Trezor và Ledger đều đang phải đối mặt với các vấn đề liên quan đến tính bảo mật và an toàn của ví.
Cụ thể, người dùng xấu số đã đặt mua một chiếc ví cứng Trezor Model T thông qua trang web bán hàng được quảng cáo vô cùng uy tín và nổi tiếng. Chiếc ví nhận được hoàn toàn giống như ví "hàng thật giá thật", hoạt động trơn tru và đầy đủ chức năng.
Nhưng đến khi nạn nhân chuyển BTC của mình vào ví thì số crypto đó đã bị chuyển ra ngay lập tức!
Đội ngũ Kaspersky ban đầu cũng không tìm thấy điểm khác biệt nào giữa ví fake và ví thật vì bề ngoài hoàn toàn giống nhau. Đến khi họ mở ví ra để kiểm tra phần cứng thì mới phát hiện vi điều khiển (MCU - microcontroller unit) của ví đã bị tráo đổi.
Cụ thể, social recovery là cập nhật mới của ví Ledger Nano X, mã hóa chuỗi seed phrase thành 3 phân đoạn và gửi đến 3 thực thể/tổ chức khác nhau. Ba bên này sau đó có thể ghép lại thành chuỗi seed hoàn chỉnh để người dùng có thể xác minh ID.
Ý tưởng về tính năng phân quyền cho ví như vậy rất đáng hoan nghênh. Nhưng người dùng nghi vấn rằng tại sao Ledger có thể mã hóa seed phrase của người dùng và gửi nó ra ngoài - trong khi họ không yêu cầu người dùng nhập lại seed phrase khi bật tính năng social recovery?
Ví cứng như Ledger và Trezor là ví phi lưu ký (non-custodial), không có bên nào có quyền lưu trữ, truy cập và sử dụng ví của người dùng. Do đó, việc Ledger có thể gửi seed phrase ra ngoài làm cộng đồng hoài nghi là Ledger vốn dĩ đã lưu trữ thông tin seed phrase này từ trước?
Thêm một bằng chứng nữa là Ledger cập nhật thêm social recovery vào các ví Nano X đã sản xuất từ trước - chứ không phải ở các ví sắp sản xuất ra. Nghĩa là ẩn trong các dòng ví của hãng từ trước đến nay đã có một backdoor (cửa hậu) lưu lại seed phrase, nên đến nay chỉ cần cập nhật thêm là đã có thể gọi ra thông tin đó để mã hóa?
Tuy nhiên, cá nhân nhà đồng sáng lập Ledger đã có vài bình luận gây tranh cãi trong cộng đồng Reddit.
Cụ thể, khi một người dùng đặt câu hỏi về việc "Ledger có cửa hậu hay không?" thì tài khoản btchip của đồng sáng lập Ledger đã trả lời rằng:
Nhà đồng sáng lập này còn khẳng định là không có backdoor nhưng "không thể chứng minh được". (?!)
Có vẻ như Ledger nên đưa ra một tuyên bố chính thức về vấn đề để giải đáp thắc mắc của cộng đồng hơn là chỉ đi bình luận rải rác trong Reddit như vậy.
Ví Trezor fake
Theo báo cáo bảo mật của hãng phần mềm chống virus Kaspersky được Wu Blockchain đưa tin lại, một người dùng vừa trở thành nạn nhân của vụ lừa đảo vô cùng tinh vi liên quan đến ví Trezors.Cụ thể, người dùng xấu số đã đặt mua một chiếc ví cứng Trezor Model T thông qua trang web bán hàng được quảng cáo vô cùng uy tín và nổi tiếng. Chiếc ví nhận được hoàn toàn giống như ví "hàng thật giá thật", hoạt động trơn tru và đầy đủ chức năng.
Nhưng đến khi nạn nhân chuyển BTC của mình vào ví thì số crypto đó đã bị chuyển ra ngay lập tức!
Đội ngũ Kaspersky ban đầu cũng không tìm thấy điểm khác biệt nào giữa ví fake và ví thật vì bề ngoài hoàn toàn giống nhau. Đến khi họ mở ví ra để kiểm tra phần cứng thì mới phát hiện vi điều khiển (MCU - microcontroller unit) của ví đã bị tráo đổi.
Ví Ledger có "cửa hậu"?
Khác với trường hợp mua hàng fake kể trên, ví Ledger đang vướng phải nhiều nghi vấn xoay quanh tính năng mới tích hợp của mình là social recovery.Cụ thể, social recovery là cập nhật mới của ví Ledger Nano X, mã hóa chuỗi seed phrase thành 3 phân đoạn và gửi đến 3 thực thể/tổ chức khác nhau. Ba bên này sau đó có thể ghép lại thành chuỗi seed hoàn chỉnh để người dùng có thể xác minh ID.
Ý tưởng về tính năng phân quyền cho ví như vậy rất đáng hoan nghênh. Nhưng người dùng nghi vấn rằng tại sao Ledger có thể mã hóa seed phrase của người dùng và gửi nó ra ngoài - trong khi họ không yêu cầu người dùng nhập lại seed phrase khi bật tính năng social recovery?
Ví cứng như Ledger và Trezor là ví phi lưu ký (non-custodial), không có bên nào có quyền lưu trữ, truy cập và sử dụng ví của người dùng. Do đó, việc Ledger có thể gửi seed phrase ra ngoài làm cộng đồng hoài nghi là Ledger vốn dĩ đã lưu trữ thông tin seed phrase này từ trước?
Thêm một bằng chứng nữa là Ledger cập nhật thêm social recovery vào các ví Nano X đã sản xuất từ trước - chứ không phải ở các ví sắp sản xuất ra. Nghĩa là ẩn trong các dòng ví của hãng từ trước đến nay đã có một backdoor (cửa hậu) lưu lại seed phrase, nên đến nay chỉ cần cập nhật thêm là đã có thể gọi ra thông tin đó để mã hóa?
Phản hồi mập mờ
Phía Ledger chưa đưa ra phản hồi chính thức nào về các thông tin bất lợi này.Tuy nhiên, cá nhân nhà đồng sáng lập Ledger đã có vài bình luận gây tranh cãi trong cộng đồng Reddit.
Cụ thể, khi một người dùng đặt câu hỏi về việc "Ledger có cửa hậu hay không?" thì tài khoản btchip của đồng sáng lập Ledger đã trả lời rằng:
Nhưng sau đó lại bình luận trái ngược rằng:
Vậy là key vẫn có thể được chuyển đi hay không?
Nhà đồng sáng lập này còn khẳng định là không có backdoor nhưng "không thể chứng minh được". (?!)
Có vẻ như Ledger nên đưa ra một tuyên bố chính thức về vấn đề để giải đáp thắc mắc của cộng đồng hơn là chỉ đi bình luận rải rác trong Reddit như vậy.
