Chỉ 6 trong số 45 thương hiệu ví tiền điện tử tiến hành thử nghiệm thâm nhập: Báo cáo

Một báo cáo tháng 7 từ nền tảng chứng nhận an ninh mạng CER cho thấy chỉ có 6 trong số 45 thương hiệu ví tiền điện tử (13,3%) trải qua thử nghiệm thâm nhập để tìm ra lỗ hổng bảo mật. Trong số này, chỉ một nửa đã thử nghiệm phiên bản mới nhất của sản phẩm.
Ba thương hiệu được cho là đã tiến hành các thử nghiệm thâm nhập mới nhất là MetaMask, ZenGo và Trust Wallet. Rabby và Bifröst đã tiến hành thử nghiệm thâm nhập trên các phiên bản cũ hơn của phần mềm và LedgerLive đã tiến hành thử nghiệm thâm nhập trên một phiên bản không xác định (được liệt kê là "Không áp dụng" trong báo cáo). Tất cả các thương hiệu khác được liệt kê đều không cung cấp bất kỳ bằng chứng nào cho thấy những thử nghiệm này đã được thực hiện.
Báo cáo cũng cung cấp bảng xếp hạng chung về tính bảo mật của từng ví, xếp hạng MetaMask, ZenGo, Rabby, Trust Wallet và Coinbase Wallet là những ví an toàn nhất.
Kiểm thử xâm nhập là một phương pháp được sử dụng để phát hiện lỗ hổng bảo mật trong hệ thống máy tính hoặc phần mềm. Các nhà nghiên cứu bảo mật cố gắng xâm nhập vào một thiết bị hoặc phần mềm và khai thác nó cho các mục đích không mong muốn. Trong hầu hết các trường hợp, người kiểm thử xâm nhập có rất ít hoặc không có thông tin về cách thức hoạt động của sản phẩm. Quy trình này được sử dụng để mô phỏng các nỗ lực tấn công mạng thực tế nhằm phát hiện lỗ hổng trước khi sản phẩm được phát hành.
CER phát hiện ra rằng 39 trong số 45 thương hiệu ví điện tử không hề thực hiện bất kỳ bài kiểm tra xâm nhập nào, ngay cả trên các phiên bản phần mềm cũ hơn. CER suy đoán rằng điều này có thể là do các bài kiểm tra này tốn kém, đặc biệt nếu công ty thường xuyên nâng cấp sản phẩm. CER lưu ý: "Chúng tôi cho rằng điều này là do khối lượng cập nhật cho các ứng dụng phổ biến, trong đó mỗi bản cập nhật mới có khả năng làm mất hiệu lực của bài kiểm tra xâm nhập đã thực hiện trước đó."
Họ phát hiện ra rằng các thương hiệu ví phổ biến nhất có nhiều khả năng thực hiện kiểm tra bảo mật, bao gồm cả thử nghiệm xâm nhập, vì họ thường có đủ kinh phí để làm như vậy:
“Về bản chất, các ví điện tử phổ biến có xu hướng áp dụng các biện pháp bảo mật mạnh mẽ hơn để bảo vệ lượng người dùng ngày càng tăng của họ. Điều này có vẻ hợp lý — lượng người dùng cao hơn thường tương ứng với số tiền quan trọng cần được bảo vệ nhiều hơn, khả năng hiển thị cao hơn, và do đó, các mối đe dọa tiềm ẩn cũng nhiều hơn. Nó cũng có thể dẫn đến một vòng phản hồi tích cực, trong đó các ví an toàn hơn thu hút nhiều người dùng mới hơn so với các ví kém an toàn hơn.
Xếp hạng ví của CER dựa trên phương pháp bao gồm các yếu tố như tiền thưởng lỗi, sự cố trước đây và các tính năng bảo mật như phương pháp khôi phục và yêu cầu mật khẩu.
Mặc dù hầu hết các thương hiệu ví không thực hiện kiểm tra xâm nhập, CER cho biết nhiều thương hiệu vẫn dựa vào chương trình tiền thưởng lỗi để tìm lỗ hổng, đây thường là một cách hiệu quả để ngăn chặn các cuộc tấn công của tin tặc. Họ đánh giá 47 trong số 159 ví riêng lẻ là "an toàn" nhìn chung, nghĩa là điểm bảo mật của chúng trên 60. 159 ví này bao gồm một số ví cùng thương hiệu. Ví dụ: MetaMask cho Edge được coi là một ví riêng biệt với MetamlMask cho Android.
Có liên quan: Tiền thưởng lỗi có thể giúp bảo mật mạng blockchain, nhưng kết quả không đồng đều
Bảo mật ví đã trở thành một vấn đề cấp bách trong năm 2023 sau vụ tấn công Ví Atomic vào ngày 3 tháng 6, gây thiệt hại hơn 100 triệu đô la. Đội ngũ Atomic suy đoán rằng vụ việc có thể do virus hoặc phần mềm độc hại xâm nhập vào cơ sở hạ tầng của công ty, nhưng lỗ hổng bảo mật chính xác dẫn đến vụ tấn công vẫn chưa được xác định. Ví điện tử MyAlgo cũng đã bị xâm phạm bảo mật vào cuối tháng 2, với thiệt hại ước tính lên tới hơn 9 triệu đô la cho người dùng.
Tác giả: Deep Chain DCNews
Biên soạn bởi: Shen Jie
Twitter: DeepChain
Twitter：https://twitter.com/DeepChainUS