Chỉ trích về ví phần cứng
Nhà điều tra on-chain ZachXBT đã chỉ trích ví phần cứng, lập luận rằng người dùng không nên dựa vào chúng để ký kết các giao dịch quan trọng hoặc lưu trữ một lượng lớn cryptocurrency. Trong một bài đăng trên Telegram, ZachXBT mô tả ví phần cứng là “rác rưởi hoàn toàn” và khuyên không nên sử dụng chúng cho các nhiệm vụ quan trọng. Thay vào đó, ông đề xuất sử dụng một chiếc iPhone riêng biệt chỉ dành cho việc quản lý tài sản crypto.
Phê bình đối với Ledger
ZachXBT đã chỉ trích mạnh mẽ Ledger, một trong những nhà sản xuất ví phần cứng lớn nhất, gọi đây là “tệ nhất” và tuyên bố rằng các bản cập nhật thường xuyên cho Ledger Live có thể gây cản trở các chức năng cơ bản. Ông cho biết ví phần cứng hiện tại không phù hợp để ký kết các giao dịch quan trọng hoặc lưu trữ một lượng lớn tài sản. Ông nói rằng Ledger Live nhận được “các bản cập nhật thường xuyên cho giao diện và ứng dụng mà không có lý do chính đáng nào và làm hỏng các hành động đơn giản.”
Những bình luận này phản ánh quan điểm cá nhân của ZachXBT. Ông không cung cấp bằng chứng cho thấy các thiết bị Ledger đã gặp phải lỗ hổng bảo mật mới hoặc rằng việc bảo vệ khóa riêng của chúng đã bị xâm phạm.
Ledger đã đổi tên Ledger Live thành Ledger Wallet. Theo ghi chú phát hành chính thức của công ty, phiên bản Ledger Wallet 4.8.0 đã được phát hành vào ngày 11 tháng 6 với các cải tiến bảo mật, thay đổi giao diện và sửa lỗi nhỏ. Công ty tiếp tục quảng bá việc ký kết dựa trên phần cứng như một cách để giữ cho các khóa riêng biệt khỏi các thiết bị kết nối internet.
Rủi ro từ kỹ thuật xã hội
Đề xuất của ZachXBT đưa ra một cách tiếp cận khác bằng cách sử dụng một chiếc smartphone chỉ dành riêng cho các giao dịch crypto. Sự chỉ trích này diễn ra trong bối cảnh các kẻ tấn công tiếp tục nhắm mục tiêu vào những người sở hữu ví phần cứng thông qua kỹ thuật xã hội và các ứng dụng giả mạo. Những cuộc tấn công này không nhất thiết phải liên quan đến việc phá vỡ bảo mật của ví phần cứng. Như đã được báo cáo trước đó bởi crypto.news, một người nắm giữ crypto đã mất hơn 282 triệu USD trong Bitcoin và Litecoin vào tháng 1 sau một vụ lừa đảo kỹ thuật xã hội liên quan đến ví phần cứng.
ZachXBT báo cáo rằng các kẻ tấn công đã nhanh chóng chuyển số tiền bị đánh cắp qua nhiều dịch vụ và chuyển đổi một phần thành Monero. Sự cố này cho thấy cách mà các kẻ tấn công có thể nhắm mục tiêu vào người dùng mà không trực tiếp xâm phạm bảo mật kỹ thuật của ví phần cứng. Kỹ thuật xã hội cố gắng thuyết phục nạn nhân tiết lộ thông tin nhạy cảm hoặc thực hiện các hành động cho phép tội phạm kiểm soát tài sản của họ.
Rủi ro từ phần mềm giả mạo
Người dùng Ledger cũng đã phải đối mặt với các cuộc tấn công liên quan đến phần mềm giả mạo các sản phẩm chính thức của công ty. Những trường hợp như vậy có thể tạo ra rủi ro bảo mật ngay cả khi thiết bị phần cứng vật lý vẫn hoạt động như thiết kế. Vào tháng 4, một ứng dụng giả mạo Ledger Live được liệt kê trên App Store của Apple đã đánh cắp ít nhất 9,5 triệu USD từ hơn 50 nạn nhân trong một tuần, như đã báo cáo bởi crypto.news. Ứng dụng giả mạo đã sao chép thương hiệu Ledger và xuất hiện với người dùng tìm kiếm phần mềm ví của công ty.
Các nạn nhân được cho là đã nhập cụm từ khôi phục của họ vào ứng dụng giả mạo, cho phép các kẻ tấn công kiểm soát ví của họ. Tài sản bị đánh cắp bao gồm Bitcoin, Ethereum, Solana, Tron và XRP. Apple sau đó đã gỡ bỏ ứng dụng giả mạo khỏi cửa hàng của mình.
Kết luận
Đề xuất của ZachXBT về một chiếc iPhone riêng biệt sẽ giảm bớt một số rủi ro liên quan đến việc sử dụng một thiết bị cho việc duyệt web hàng ngày, nhắn tin và các hoạt động trực tuyến khác. Tuy nhiên, một chiếc smartphone vẫn phụ thuộc vào hệ điều hành của nó, phần mềm đã cài đặt, thực tiễn sao lưu và thói quen bảo mật của người dùng.
Cuộc tranh luận này xoay quanh các cách tiếp cận khác nhau đối với việc tự quản lý crypto. Ví phần cứng tập trung vào việc giữ cho các khóa riêng biệt khỏi các thiết bị kết nối internet đa năng, trong khi ZachXBT ủng hộ việc tách biệt thiết bị nghiêm ngặt thông qua một chiếc điện thoại chỉ được sử dụng cho crypto. Trong cả hai trường hợp, người dùng vẫn có thể đối mặt với rủi ro từ phishing, ứng dụng giả mạo, cụm từ khôi phục bị lộ và kỹ thuật xã hội.