Một lỗ hổng bảo mật nghiêm trọng đang báo động trong cộng đồng tiền điện tử, đặc biệt là ảnh hưởng đến các ví Bitcoin sử dụng chip ESP32 của Trung Quốc.
Khuyết điểm này gây ra nguy hiểm lớn cho các nhà giao dịch. Nó có thể đe dọa hàng triệu đô la tài sản kỹ thuật số trên toàn thế giới.
Ví Bitcoin, Rủi ro chip ESP32
Chip ESP32 được sản xuất bởi Espressif Systems, một công ty công nghệ hàng đầu của Trung Quốc. Chip này đã được áp dụng rộng rãi trong các ví phần cứng do tính hiệu quả về chi phí và khả năng thích ứng trong các hệ thống nhúng. Nó được thiết kế để bảo vệ (BTC) và các loại tiền điện tử khác.
Phần cứng của ví Blockstream Jade Plus cũng đã tích hợp bộ chip ESP32-S3 mới để hoạt động trơn tru.
Bất chấp sự phổ biến, các chuyên gia an ninh mạng đã phát hiện ra một lỗ hổng nghiêm trọng được xác định là CVE-2025-27840. Lỗ hổng này cho phép hacker bỏ qua các giao thức bảo mật và trích xuất khóa riêng. Một lỗi crypto-MCP khác cũng cho phép hacker tiết lộ cụm từ hạt giống hoặc chuyển hướng các giao dịch blockchain mà người dùng không nhận biết.
Theo phân tích chuyên sâu của Crypto Deep Tech, lỗ hổng này cho phép kẻ tấn công giả mạo chữ ký ECDSA. Sau đó, hacker có thể tạo điều kiện cho các giao dịch trái phép mà không thể bị phát hiện.
"Kẻ tấn công có thể sử dụng nhiều phương pháp để truy cập dữ liệu khóa riêng của ví Bitcoin thông qua ESP32." – Cảnh báo của Crypto Deep Tech
Trong các bài kiểm tra thực tế, các nhà nghiên cứu đã thành công trong việc khai thác lỗ hổng để truy cập ví Bitcoin chứa 10 BTC. Điều này nhấn mạnh khả năng tổn thất tài chính đáng kể. Kết nối Bluetooth và Wi-Fi của chip làm trầm trọng thêm rủi ro, cho phép hacker triển khai các bản cập nhật độc hại và trích xuất dữ liệu nhạy cảm từ xa. Vấn đề này đặc biệt nghiêm trọng đối với các ví dựa trên Electrum.
Hậu quả của lỗ hổng này vượt ra ngoài các nhà đầu tư cá nhân, nêu ra những lo ngại rộng hơn về an ninh mạng. Các chuyên gia cảnh báo rằng lỗ hổng này có thể tạo điều kiện cho các hoạt động gián điệp do quốc gia hỗ trợ và các chiến dịch trộm cắp có tổ chức nhắm vào các thiết bị dựa trên ESP32.
Việc phát hiện ra lỗi này đã kích động cuộc tranh luận về độ tin cậy của các linh kiện sản xuất tại Trung Quốc trong cơ sở hạ tầng tài chính quan trọng.
"Tôi sẽ không sử dụng ví phần cứng dựa trên ESP32 cho chữ ký đơn." – Người dùng X nvk
Cho đến nay, các mẫu ví cụ thể bị ảnh hưởng vẫn chưa được xác định rộng rãi. Tuy nhiên, áp lực đòi các nhà sản xuất cung cấp tính minh bạch và tiết lộ các sản phẩm bị ảnh hưởng đang trở nên cấp bách hơn. Mục đích là để giảm thiểu rủi ro và bảo vệ người dùng.
