Coinbase bị chỉ trích vì quy trình khôi phục cụm từ hạt giống 'khó tin'

Phương pháp khôi phục 'khó tin' của Coinbase gây ra làn sóng phản đối về bảo mật

Vào ngày 19 tháng 3, một nhà nghiên cứu bảo mật cấp cao đã công khai chỉ trích Coinbase vì một tính năng khôi phục ví yêu cầu người dùng nhập toàn bộ cụm từ hạt giống của họ dưới dạng văn bản thuần túy. Yu Xian, người sáng lập công ty bảo mật blockchain SlowMist, đã mô tả thực hành này trên mạng xã hội là "khó tin", nhấn mạnh một rủi ro bảo mật cơ bản. Yêu cầu người dùng nhập hoặc dán khóa chính của họ vào một biểu mẫu web sẽ khiến nó bị tấn công qua clipboard, keylogger và các kế hoạch lừa đảo (phishing), thực tế là phủ nhận nguyên tắc bảo mật cốt lõi là giữ cụm từ hạt giống ngoại tuyến mọi lúc. Lựa chọn thiết kế này đặt trách nhiệm bảo mật môi trường kỹ thuật số hoàn toàn vào người dùng, một điểm yếu đáng kể ngay cả đối với những cá nhân có kỹ năng kỹ thuật.

Lỗ hổng cụm từ hạt giống tạo điều kiện cho vụ trộm 176 triệu đô la Bitcoin

Những rủi ro chính xác liên quan đến cụm từ hạt giống bị lộ được thể hiện rõ ràng qua một vụ án gần đây của Tòa án Tối cao Vương quốc Anh. Nguyên đơn, Ping Fai Yuen, cáo buộc vợ mình đã đánh cắp 2.323 Bitcoin, trị giá khoảng 176 triệu đô la, bằng cách bí mật sử dụng camera an ninh để ghi lại cụm từ hạt giống và thông tin đăng nhập ví của anh ta. Các tài liệu tòa án cho thấy số tiền này sau đó đã được chuyển đến 71 địa chỉ khác nhau vào tháng 12 năm 2023. Vụ án này cung cấp một ví dụ thực tế, đầy kịch tính về việc ngay cả sự gần gũi về vật lý cũng có thể làm tổn hại một cụm từ hạt giống nếu nó bị lộ ra một cách trực quan. Vụ trộm bị cáo buộc nhấn mạnh nhu cầu cấp thiết về các quy trình khôi phục không yêu cầu người dùng tiết lộ khóa bí mật chính của họ dưới bất kỳ định dạng kỹ thuật số hoặc có thể quan sát nào.

Ngành công nghiệp thúc đẩy ví 'không hạt giống' với công nghệ Passkey

Để đáp lại trực tiếp những điểm yếu cố hữu của cụm từ hạt giống do người dùng quản lý, ngành công nghiệp đang tiến tới các phương pháp xác thực mạnh mẽ hơn. Công ty hạ tầng Bitcoin Breez gần đây đã tích hợp Đăng nhập Passkey vào SDK của mình, cho phép các nhà phát triển xây dựng ví tự lưu ký không dựa vào các cụm từ 12 từ truyền thống để truy cập thông thường. Công nghệ này, dựa trên tiêu chuẩn FIDO2 WebAuthn, sử dụng sinh trắc học trên thiết bị như Face ID hoặc quét vân tay để xác thực người dùng và tạo khóa. Khóa riêng tư không bao giờ rời khỏi phần cứng bảo mật của thiết bị, chẳng hạn như Secure Enclave của Apple hoặc chip Titan của Android, bảo vệ nó khỏi các mối đe dọa trực tuyến. Sự thay đổi này định hình lại mô hình bảo mật xung quanh các biện pháp bảo vệ cấp thiết bị quen thuộc, nhằm mục đích làm cho việc tự lưu ký an toàn hơn và dễ tiếp cận hơn đối với đối tượng người dùng phổ thông.