120.000 khóa riêng tư Bitcoin bị bẻ khóa trong một vụ hack mới

Blogtienao2026/02/14 02:45

Theo:Blogtienao

120.000 khóa riêng tư Bitcoin bị bẻ khóa trong một vụ hack mới image 0

120.000 khóa riêng tư Bitcoin bị bẻ khóa trong một vụ hack mới image 1

Theo báo cáo của nhà cung cấp ví tiền điện tử OneKey, một lỗ hổng mới được phát hiện trong thư viện Bitcoin mã nguồn mở được sử dụng rộng rãi đã dẫn đến việc lộ hơn 120.000 khóa riêng tư.

Libbitcoin Explorer (bx) 3.x dùng PRNG Mersenne Twister-32 chỉ được seed bằng thời gian hệ thống, nên không ngẫu nhiên thực sự.

Không gian hạt giống chỉ có

2^{32}

khả năng, nên kẻ tấn công biết hoặc ước chừng thời điểm tạo ví có thể brute-force để tái tạo chuỗi số ngẫu nhiên, lấy được khóa riêng và truy cập tiền trong ví.

Phân tích OneKey về mức độ ví bị ảnh hưởng

Nhà cung cấp ví xác nhận lỗi ảnh hưởng một số triển khai dùng Libbitcoin Explorer, gồm Trust Wallet Extension v0.0.172–0.0.183 và Trust Wallet Core (đến 3.1.1), nhưng bản 3.1.1 đã được vá.

OneKey dẫn phân tích bảo mật cho thấy PRNG dựa vào entropy có thể dự đoán được, khiến kẻ tấn công có thể tái tạo và chiếm các khóa riêng của ví được tạo vào cùng mốc thời gian.

Do không gian hạt giống nhỏ và thuật toán Mersenne Twister-32 dễ đoán, kẻ tấn công có thể tự động hóa việc xâm phạm hàng loạt ví.

OneKey cho rằng lỗ hổng này có thể liên quan đến các vụ mất tiền bí ẩn như “Milk Sad”, dù người dùng đã tạo ví trong môi trường cách ly.

Kết nối ‘Milk Sad’ không ảnh hưởng đến ví OneKey

Cuộc điều tra “Milk Sad” cho thấy các nạn nhân tạo ví bằng lệnh bx seed -b 256 | bx mnemonic-new trên Libbitcoin Explorer, tin rằng tạo được 24 từ ngẫu nhiên an toàn. Tuy nhiên, do PRNG lỗi, các cụm từ này có thể đoán được, dẫn đến khóa riêng yếu.

Dù các ví được tạo cách nhau nhiều năm, tất cả đều dùng cùng phiên bản bx. OneKey khẳng định lỗ hổng này không ảnh hưởng đến sản phẩm của họ, vì các thiết bị sử dụng RNG bảo mật phần cứng (TRNG) đạt chuẩn EAL6+.

Đánh giá lỗ hổng ví phần mềm

OneKey cho biết các tiện ích mở rộng của họ dùng PRNG WebAssembly dựa trên Chromium với CSPRNG bảo mật, tương tự tiêu chuẩn trong trình duyệt và hệ điều hành hiện đại. Ứng dụng Android và iOS cũng sử dụng API CSPRNG tích hợp của hệ thống.

Đội ngũ bảo mật nhấn mạnh tính ngẫu nhiên phụ thuộc vào độ an toàn của thiết bị và môi trường phần mềm; nếu hệ điều hành hay phần cứng bị xâm phạm, entropy có thể yếu đi. OneKey khuyến nghị dùng ví cứng cho lưu trữ dài hạn và không nhập seed từ ví phần mềm vào ví cứng.

Đọc thêm: Arthur Hayes kêu gọi “mua vào” giữa lúc Andrew Tate hét lớn: “Bitcoin sắp sập sâu nữa!”

Tuyên bố miễn trừ trách nhiệm: Mọi thông tin trong bài viết đều thể hiện quan điểm của tác giả và không liên quan đến nền tảng. Bài viết này không nhằm mục đích tham khảo để đưa ra quyết định đầu tư.

PoolX: Khóa để nhận token mới.

APR lên đến 12%. Luôn hoạt động, luôn nhận airdrop.

Khóa ngay!