ZachXBT nổ súng: “Ví phần cứng đều là rác”, lãnh đạo Trezor đáp trả: “Điện thoại dễ bị tấn công hơn”

Nhà điều tra on-chain ZachXBT mới đây đã lên tiếng rằng “tất cả ví phần cứng đều là rác hoàn toàn”, không khuyến nghị dùng để ký giao dịch hay lưu trữ tiền, và thay vào đó gợi ý dùng một chiếc iPhone chuyên để cất tiền và ký. Cùng ngày, Giám đốc phụ trách kinh doanh của Trezor Danny Sanders đáp lại, thừa nhận các bản cập nhật phần mềm và firmware thực sự có thể ảnh hưởng tới các thao tác khẩn cấp như giao dịch giá trị lớn, nhưng cho rằng mô tả của ZachXBT chỉ phù hợp với bối cảnh người dùng cấp cao quản lý khối tài sản lớn, không thể dùng để phủ định cả một nhóm sản phẩm ví phần cứng.
(Nhắc lại bối cảnh: Nhà thám tử on-chain ZachXBT: Một ví bị “tấn công thông qua kỹ thuật xã hội” đánh cắp 282 triệu USD BTC, LTC)
(Bổ sung nền: Ví lạnh không chống được! Nhóm lừa đảo gửi “thư giấy chính thức” để lừa lấy cụm từ khôi phục, người dùng Ledger, Trezor trở thành mục tiêu)

Mục lục

Toggle

  • Trezor thừa nhận cập nhật làm hỏng việc, nhưng không chấp nhận “đổ hết một lượt”
  • Vấn đề của iPhone chuyên dụng nằm ở bề mặt tấn công
  • Roman Storm đá bóng sang cho nhà phát triển ví

Tóm tắt nhanh

  • ZachXBT ngày 16 tháng 7 cho rằng tất cả ví phần cứng đều là rác, nêu tên Ledger tệ nhất, đổi sang khuyến nghị iPhone chuyên dụng
  • Giám đốc phụ trách kinh doanh của Trezor Danny Sanders phản bác, nhấn mạnh việc đối chiếu giao dịch bằng màn hình độc lập là lớp mà điện thoại không có
  • Roman Storm phần nào đồng ý, cho rằng ví di động thiếu hỗ trợ BIP39 Passphrase và chữ ký offline

Nhà điều tra on-chain ZachXBT vào ngày 16 tháng 7 đã đăng một câu nặng lời trên kênh Telegram, khẳng định “tất cả ví phần cứng đều là rác hoàn toàn, tôi không khuyến nghị dùng chúng cho các nhiệm vụ quan trọng như ký giao dịch hoặc lưu trữ tiền”, đồng thời đề xuất chuyển sang dùng một chiếc iPhone chuyên dụng chỉ để lưu tiền và ký.

Ông cũng chỉ đích danh Ledger là một trong những sản phẩm tệ nhất. Lý do là Ledger Live nhiều lần cập nhật vì giao diện và ứng dụng, không có lý do chính đáng, nhưng lại làm hỏng các thao tác đơn giản. Ông liệt kê các điểm đau như hết pin, bị buộc phải cập nhật firmware, và sau khi làm mới giao diện thì không thể ký multisig.

Với một người ngày nào cũng xử lý các vụ bị đánh cắp, những lời phàn nàn này không phải lý thuyết—đó là những thứ ông nhìn thấy tại hiện trường vụ án.

Trezor thừa nhận cập nhật làm hỏng việc, nhưng không chấp nhận “đổ hết một lượt”

Cùng ngày, Giám đốc phụ trách kinh doanh của Trezor Danny Sanders phản hồi. Ông thừa nhận một nửa. Ông nói việc cập nhật phần mềm hoặc firmware thực sự có thể ảnh hưởng tới các thao tác khẩn cấp như giao dịch giá trị lớn; hiện tại, sản phẩm vẫn còn thiếu sót khi cân bằng giữa an toàn và tính dễ dùng.

Nhưng ông cho rằng bối cảnh ZachXBT mô tả chủ yếu áp dụng cho người dùng cấp cao quản lý khối tài sản lớn, và nhóm tài sản ở cấp đó vốn dĩ không nên chỉ dựa vào ví phần cứng.

Những người quản lý số lượng lớn tài sản trong môi trường rủi ro cao cần cấu hình khác nhau; một ví phần cứng đơn lẻ đối với họ vốn đã không phải là phương án tốt nhất. Nhưng điều đó không có nghĩa là bạn có thể nói mọi thứ đều là rác.

iPhone chuyên dụng gặp vấn đề ở bề mặt tấn công

Sanders không phủ định toàn bộ đề xuất của ZachXBT. Ông nói việc đưa một chiếc iPhone chuyên dùng để ký và lưu tài sản vào giải pháp bảo mật cấp cao là có giá trị nhất định, nhưng vấn đề là chiếc điện thoại mang theo Wi-Fi, Bluetooth, mạng di động và cả iMessage… nên bề mặt tấn công lớn hơn nhiều so với ví phần cứng.

Ông nhấn mạnh rằng ví phần cứng có màn hình riêng; người dùng có thể đối chiếu nội dung giao dịch trước khi ký. Đây là một lớp xác minh độc lập mà điện thoại kết nối mạng không thể cung cấp, và với người dùng mã hóa nói chung, đó vẫn là phương án tự quản lý tài sản mạnh nhất hiện nay.

Cuộc tranh luận này thực ra đang nói về hai loại rủi ro khác nhau. ZachXBT lo ngại việc thiết bị có thể không hoạt động trong thời điểm then chốt; Sanders lo ngại thiết bị bị xâm nhập trong môi trường có kết nối mạng. Một bên là vấn đề về tính sẵn sàng, bên kia là vấn đề về an toàn—cả hai đều không sai, chỉ là họ đang đứng trước các kịch bản thất bại khác nhau.

Roman Storm đá bóng sang cho nhà phát triển ví

Đồng sáng lập Tornado Cash Roman Storm phần nào đồng ý với quan điểm của ZachXBT, nhưng cho rằng điểm then chốt nằm ở tính năng: hiện tại ví di động nhìn chung không hỗ trợ BIP39 Passphrase (mật khẩu cụm từ khôi phục) và chữ ký offline (Air-gapped Signing), ông kêu gọi các nhà phát triển ví sớm bổ sung hai mảng này.

Các đơn vị khác cũng lên tiếng. Hãng sản xuất ví phần cứng Keystone thừa nhận các nhận xét của ZachXBT là có cơ sở, nhưng nhấn mạnh đa số người dùng vẫn cần thiết bị chuyên dụng và phải có kỷ luật; trong khi đó Ledger lại tập trung vào việc khóa riêng offline không thể bị lừa đảo phishing hoặc bị can thiệp.

Câu hỏi thường gặp

Vì sao ZachXBT nói ví phần cứng là rác?

Ông vào ngày 16 tháng 7 chỉ ra rằng ví phần cứng dễ gặp sự cố trong thời điểm then chốt, bao gồm hết pin, bị ép cập nhật firmware, và do thay đổi giao diện mà multisig không ký ra được; đồng thời ông chỉ đích danh Ledger Live thường chỉ để cập nhật, làm hỏng các thao tác vốn trước đó là đơn giản.

Dùng iPhone chuyên dụng để lưu tiền có thực sự an toàn hơn không?

Giám đốc phụ trách kinh doanh của Trezor Danny Sanders cho rằng có giá trị với người dùng cấp cao, nhưng điện thoại có Wi-Fi, Bluetooth, mạng di động và iMessage nên bề mặt tấn công lớn hơn ví phần cứng, đồng thời không có màn hình độc lập để đối chiếu nội dung giao dịch trước khi ký.

BTC1,31%
LTC4,09%
Xem bản gốc
Trang này có thể chứa nội dung của bên thứ ba, được cung cấp chỉ nhằm mục đích thông tin (không phải là tuyên bố/bảo đảm) và không được coi là sự chứng thực cho quan điểm của Gate hoặc là lời khuyên về tài chính hoặc chuyên môn. Xem Tuyên bố từ chối trách nhiệm để biết chi tiết.
  • Phần thưởng
  • Bình luận
  • Đăng lại
  • Retweed
Bình luận
Thêm một bình luận
Thêm một bình luận
Không có bình luận
  • Đã ghim