Nhà điều tra onchain ZachXBT đã chỉ trích ví phần cứng là “hoàn toàn rác rưởi” và gọi Ledger là tệ nhất trong số các nhà cung cấp lớn, sau một vụ trộm xảy ra vào ngày 10 tháng 1 khiến nạn nhân mất hơn 282 triệu USD giá trị Bitcoin và Litecoin trong một vụ lừa đảo theo kiểu social-engineering. Cuộc tấn công liên quan khoảng 2,05 triệu LTC và 1.459 BTC; theo các báo cáo từ Wu Blockchain và The Defiant, kẻ tấn công đã chuyển đổi tiền bị đánh cắp sang Monero thông qua các giao dịch tức thì và dùng Thorchain để chuyển Bitcoin qua nhiều mạng. Phát biểu của ZachXBT thách thức các khuyến nghị bảo mật tiền điện tử phổ biến rằng nên dùng ví phần cứng, cho rằng các thiết bị này không bảo vệ người dùng khỏi các lỗi an ninh vận hành, các cuộc tấn công lừa đảo (phishing), rò rỉ chuỗi cung ứng hay các chiến thuật social-engineering.
ZachXBT đã nêu bật vụ trộm ngày 10 tháng 1 sau khi The Defiant báo cáo rằng một người dùng ví phần cứng đã mất hơn 282 triệu USD giá trị Bitcoin và Litecoin. Cuộc tấn công liên quan khoảng 2,05 triệu LTC và 1.459 BTC. Theo thông tin được cho là từ các báo cáo, kẻ tấn công đã chuyển đổi tiền bị đánh cắp sang Monero thông qua các giao dịch tức thì và dùng Thorchain để chuyển Bitcoin qua nhiều mạng. Các bình luận của ZachXBT, được Wu Blockchain đưa tin và đăng lại trên X, xuất hiện sau khi anh kiểm tra chi tiết vụ trộm. Vụ tấn công được mô tả là một trò lừa đảo social-engineering hơn là sự phá vỡ mật mã của một thiết bị ví phần cứng.
Trong tháng 1, Bit2Me cho biết ZachXBT đã cảnh báo về việc lộ dữ liệu liên quan đến Ledger thông qua Global-e, một bộ xử lý thanh toán bên ngoài được dùng trong quy trình bán hàng của Ledger. Vụ rò rỉ đã làm lộ thông tin cá nhân như tên, email, số điện thoại và địa chỉ vật lý. Báo cáo cho biết khóa riêng của người dùng và tiền của họ không bị xâm phạm trực tiếp. Ledger đã nhiều năm bị soi xét liên quan đến các chiến dịch phishing, thiết bị giả mạo, ứng dụng giả mạo Ledger Live và tính năng Ledger Recover của hãng. Công ty đã nhiều lần khẳng định các thiết bị của họ được thiết kế để giữ an toàn khóa riêng.
Sự chỉ trích của ZachXBT tập trung vào các lỗ hổng an ninh vận hành thay vì mật mã của thiết bị. Ví phần cứng được tiếp thị là an toàn hơn ví phần mềm vì giữ cụm từ hạt giống (seed phrase) và ký giao dịch tách biệt khỏi các thiết bị được kết nối internet. Tuy nhiên, ZachXBT lập luận rằng các thiết bị phần cứng không thể ngăn người dùng nhập seed phrase vào các trang phishing, phê duyệt các giao dịch độc hại, mua thiết bị giả mạo hoặc trở thành mục tiêu do dữ liệu cá nhân của họ bị lộ thông qua các nhà cung cấp hoặc bộ xử lý thanh toán. Khi tội phạm biết rằng một người đã mua ví phần cứng, chúng có thể nhắm mục tiêu người đó bằng các email phishing được tùy biến, tin nhắn hỗ trợ giả mạo, các nỗ lực SIM-swap hoặc đe dọa về mặt thể chất. Với các nhà nắm giữ lớn, đánh giá của ZachXBT cho thấy tự quản lý đòi hỏi ví đa chữ ký, thiết bị ký tách rời, danh sách cho phép địa chỉ, mô phỏng giao dịch, máy tính ngoại tuyến chuyên dụng và các quy tắc nghiêm ngặt chống việc nhập seed phrase ở bất kỳ đâu ngoài chính thiết bị.
ZachXBT đã nói gì về ví phần cứng?
ZachXBT gọi ví phần cứng là “hoàn toàn rác rưởi” và nói rằng anh không khuyên dùng chúng, đồng thời cho rằng Ledger là tệ nhất trong số các nhà cung cấp lớn, theo các bài đăng trên mạng xã hội được Wu Blockchain đưa tin.
Lượng tiền điện tử bị đánh cắp trong vụ trộm ngày 10 tháng 1 mà ZachXBT nhắc tới là bao nhiêu?
Một nạn nhân đã mất hơn 282 triệu USD giá trị Bitcoin và Litecoin trong một vụ lừa đảo social-engineering vào ngày 10 tháng 1, liên quan khoảng 2,05 triệu LTC và 1.459 BTC, theo báo cáo của The Defiant dẫn lời ZachXBT.
Thông tin cá nhân nào đã bị lộ trong vụ rò rỉ dữ liệu của Ledger?
Vụ rò rỉ thông qua bộ xử lý thanh toán Global-e đã làm lộ tên, email, số điện thoại và địa chỉ vật lý của khách hàng Ledger, dù theo báo cáo của Bit2Me về cảnh báo của ZachXBT trong tháng 1 thì khóa riêng và tiền của người dùng không bị xâm phạm trực tiếp.
Tin tức liên quan
Ostium tạm dừng giao dịch do bị nghi ngờ đã bị tấn công, khiến dự liệu (oracle) gặp sự cố; ước tính thiệt hại khoảng 22 triệu USD
Ví Bitcoin “OG” đã ngủ yên 7 năm tỉnh dậy, chuyển 2.931 BTC sang ví mới thay vì sàn giao dịch
Tài khoản chính thức của Noxa Fi trên X bị tin tặc xâm nhập, nhiều ví người dùng đã bị rút sạch
Pháp y tiền điện tử truy hồi $34B khi các vụ lừa đảo bằng AI nhắm vào $17B trong năm 2025