Ông chia sẻ rằng, hàm SecureRandom phổ biến của JavaScript không thực sự an toàn. Do JavaScript không an toàn, nên một lỗi có thể khiến mã lệnh không thể sử dụng window.crypto API của trình duyệt và quay lại sử dụng hàm Math.random() không đáp ứng yêu cầu ngẫu nhiên cho các thao tác mật mã học.
Mustafa Al-Bassam, một nhà nghiên cứu khoa học máy tính ở trường Đại học London nói rằng, vấn đề nằm trong các phiên bản trước năm 2013 của jsbn, một thư viện mật mã học của JavaScript. Lỗ hổng của thư viện này được biết đến từ năm 2013 và đã được Greg Maxwell, lập trình viên Bitcoin Core phân tích trong một bài trình bày năm 2015.
Matthew Green, Phó Giáo sư khoa học máy tính tại trường Johns Hopkins, đồng thời là một chuyên gia về mật mã học nói rằng, quay lại sử dụng các giải pháp thay thế sẽ kém an toàn hơn. Ông cho rằng, vấn đề với đoạn mã không chỉ liên quan tới các ví điện tử do những ứng dụng cũ sinh ra, mà còn liên quan cả tới các địa chỉ Bitcoin được tạo vào thời điểm đó. Nếu người dùng sinh địa chỉ Bitcoin của mình bằng đoạn mã đó có thể bị tấn công, các khoá có thể đoán biết được và có thể bị lợi dụng để trộm tiền. Ông nói thêm rằng, khó có thể biết trình duyệt và các ứng dụng sinh khoá thế nào vì điều đó không phải lúc nào cũng rõ ràng và có nhiều biến thể khác nhau.
Trình duyệt Chrome bị ảnh hưởng bởi lỗi này cho tới tận năm 2015. Việc sinh số ngẫu nhiên không đáp ứng tiêu chuẩn khiến các khoá mã hoá sinh bằng đoạn mã đó có thể được tìm ra bằng cách dò thử trong khoảng 1 tuần. Gerard đã nói rằng phần lớn các ví điện tử dùng để chứa tiền mã hoá bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, sau đó ông đã đính chính lại và cho biết chỉ có một số ví bị ảnh hưởng. Đó là Bitaddress (trước 2013), Bitcoinjs (trước 2014) và bất kỳ loại nào sử dụng các đoạn mã cũ trên GitHub từng triển khai hàm SecureRandom.
Dave Harding, một người tham gia đóng góp vào Bitcoin Core đã tỏ ý nghi ngờ về động cơ của người “đào” lại câu chuyện về lỗ hổng và cho rằng người đó khuấy lên để gây chú ý hay để kiếm tiền. Tuy nhiên, ông cũng thừa nhận một số khoá bí mật được sinh trong các trình duyệt những năm trước đây không đủ an toàn “Những khoá kém an toàn nhất đã bị lộ và tiền của người dùng đã bị đánh cắp; một số khoá khác có thể đủ an toàn vào thời điểm này, nhưng vẫn có thể bị lộ trong tương lai". Ông khuyên những người vẫn còn lo ngại nên liên hệ với nhà cung cấp ví và chỉ ra rằng Bitcoin.org vẫn duy trì một danh sách các ví điện tử có vấn đề về mặt an ninh.
Công Thành
Theo The Register
10:00 | 14/11/2018
17:00 | 07/04/2021
11:00 | 17/07/2021
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 29/07/2024
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
10:00 | 23/07/2024
Ngày 19/7, dịch vụ đám mây Azure, Microsoft 365 và Teams của Microsoft gặp trục trặc khiến hàng nghìn chuyến bay trên toàn cầu bị hoãn, hủy và gây gián đoạn hoạt động tại nhiều sân bay. Nguyên nhân vấn đề được cho là xuất phát từ lỗi trong hệ thống của Công ty an ninh mạng toàn cầu CrowdStrike (Mỹ) - đối tác của Microsoft. Đây được coi là sự cố lớn nhất trong lịch sử với mức độ ảnh hưởng sâu rộng từ giao thông vận tải, ngân hàng đến an ninh, y tế...
14:00 | 22/05/2024
Năm 2023, Việt Nam là quốc gia ghi nhận số vụ tấn công mạng để đánh cắp mật khẩu cao nhất Đông Nam Á, trong tổng số hơn 61 triệu vụ tấn công ghi nhận trong năm 2023
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
14:00 | 22/08/2024