Allinstation Redditor Andre nhấn mạnh việc các hacker có thể sử dụng tính năng dự đoán văn bản để dễ dàng rút tiền của người dùng chỉ bằng cách nhập các từ đầu tiên của danh sách BIP 39.
Seed Phrase, hay Cụm từ Hạt giống là sự kết hợp ngẫu nhiên của các từ trong danh sách 2048 từ Giao thức Cải tiến Bitcoin (BIP) 39, hoạt động như một trong những lớp bảo mật chính chống lại việc truy cập trái phép vào ví tiền mã hóa của người dùng. Tuy nhiên, điều gì sẽ xảy ra khi tính năng nhập dự đoán trên smartphone của bạn ghi nhớ và đề xuất các từ vào lần tiếp theo khi bạn cố gắng truy cập vào ví kỹ thuật số của mình?
Đánh cắp Seed Phrase chưa bao giờ dễ dàng đến thế
Andre, một chuyên gia IT 33 tuổi đến từ Đức, gần đây đã đăng trên subreddit r/CryptoCurrency sau khi phát hiện ra khả năng dự đoán toàn bộ seed phrase khôi phục trên mobile phone của anh ấy ngay khi Andre gõ từ đầu tiên.
Là một lời cảnh báo công bằng cho các Redditor khác và những “tín đồ” tiền mã hóa, bài đăng của Andre nhấn mạnh rằng hacker có thể sử dụng tính năng này để dễ dàng rút tiền của người dùng chỉ bằng cách có thể gõ từ đầu tiên từ danh sách BIP 39:
“Điều này tạo điều kiện thuận lợi cho vụ tấn công, sử dụng điện thoại, khởi động bất kỳ ứng dụng trò chuyện nào và bắt đầu nhập bất kỳ từ nào từ danh sách BIP39 và xem điện thoại đề xuất những gì.”
Andre, hay còn được biết đến là u/Divinux trên Reddit, đã chia sẻ tâm trạng choáng váng của mình trong lần đầu tiên chiếc điện thoại của anh ấy đoán đúng seed phrase dài 12-24 từ.
“Đầu tiên, tôi choáng váng. Những từ đầu tiên có thể là một sự trùng khớp ngẫu nhiên, phải không?”
Là một người hiểu biết về công nghệ, nhà đầu tư tiền mã hóa người Đức đã có thể thử dự đoán chính xác các seed phrase bằng điện thoại của mình. Sau khi nhận ra nguy cơ tiềm ẩn rằng thông tin này có thể bị kẻ xấu biết được, Andre cho biết:
“Tôi nghĩ mình nên nói với mọi người về điều này. Tôi chắc rằng có những người khác cũng đã nhập seed phrase vào điện thoại của họ.”
Các thử nghiệm của Andre đã xác nhận rằng GBoard của Google ít bị tấn công nhất vì phần mềm không dự đoán mọi từ theo đúng thứ tự. Tuy nhiên, bàn phím Swiftkey của Microsoft đã có thể dự đoán seed phrase ngay lập tức. Bàn phím Samsung cũng có thể dự đoán các từ nếu “Tự động thay thế” và “Đề xuất sửa văn bản” được bật theo cách thủ công.
Được biết, Andre bắt đầu gia nhập thị trường tiền mã hóa bắt đầu từ năm 2015 khi anh ấy nhận ra mình có thể mua hàng hóa và dịch vụ bằng Bitcoin (BTC) và các loại tiền mã hóa khác. Chiến lược đầu tư của chuyên gia này liên quan đến việc mua và staking BTC và các altcoin như Terra (LUNA), Algorand (ALGO), Tezos (XTZ) và “sau đó áp dụng chiến lược trung bình hóa chi phí đầu tư và chuyển thành BTC khi/nếu chúng tăng mạnh”. Chuyên gia IT này cũng phát triển coin và token của riêng mình như một sở thích.
Theo Andre, một biện pháp an toàn chống lại các vụ hack có thể xảy ra là lưu trữ các khoản nắm giữ dài hạn và đáng kể trong một ví phần cứng. Đối với các Redditor trên toàn thế giới, nhà đầu tư này khuyên “không phải khóa của bạn, cũng không phải tiền của bạn, hãy tự nghiên cứu, đừng FOMO, đừng bao giờ đầu tư nhiều hơn số tiền bạn sẵn sàng mất, luôn kiểm tra kỹ địa chỉ bạn đang gửi, luôn gửi trước một số tiền nhỏ và vô hiệu hóa PM của bạn trong cài đặt.” Andre kết luận:
“Hãy tự mình cố gắng và ngăn điều đó xảy ra bằng cách xóa bộ nhớ cache nhập dự đoán của bạn.”
Công ty bảo mật blockchain PeckShield đã cảnh báo cộng đồng tiền mã hóa về một số lượng lớn các trang web lừa đảo nhắm đến mục tiêu là người dùng của ứng dụng phong cách sống Web 3 STEPN.
“Cảnh báo của PeckShield. Tấn công phishing. PeckShield đã phát hiện một loạt các trang web lừa đảo giả danh Stepnofficial. Họ chèn một tiện ích mở rộng trình duyệt Metamask sai dẫn đến ăn cắp seed phrase của bạn hoặc nhắc bạn kết nối ví của mình hay nhấn “Yêu cầu” chương trình giveaway. Metamask.”