Nguồn mở: Từ thông dụng hay bảo mật thực sự cho ví tiền điện tử?

Các thiết kế ví tiền điện tử mã nguồn mở mang lại một số lợi ích, nhưng cũng có những đánh đổi.

Tháng trước, nhà sản xuất ví tiền điện tử phần cứng Ledger đã công bố chương trình Ledger Recover được thiết kế để cho phép khách hàng sao lưu các cụm từ gốc của họ lên đám mây và liên kết nó với danh tính trong thế giới thực của họ.

Thông báo đã vấp phải sự phản đối nặng nề từ cộng đồng tiền điện tử, vì nhiều người cho rằng nó đi ngược lại lý tưởng về bảo mật blockchain và câu thần chú hàng thập kỷ về việc giữ quyền giám sát đối với một khóa riêng.

Ledger phản hồi nhanh chóng, đảm bảo với khách hàng rằng các cụm từ gốc của họ an toàn và chương trình Khôi phục Ledger đã được chọn tham gia. Nhưng toàn bộ câu chuyện đã dẫn đến nhu cầu ngày càng tăng đối với ví phần cứng nguồn mở, thứ có thể cho phép cộng đồng loại trừ bất kỳ cửa hậu phần cứng hoặc phần mềm nào.

Chỉ một tuần sau, Ledger thông báo rằng họ đang đẩy nhanh Road Map mã nguồn mở của mình. Nhưng ví phần cứng nguồn mở có nghĩa là gì? những lợi ích là gì? Và điều quan trọng là chúng có thực sự an toàn hơn so với các đối tác nguồn đóng của chúng không?

Ví phần cứng của bạn không phải là gì

Đầu tiên, nó sẽ giúp làm sáng tỏ một số quan niệm sai lầm xung quanh ví phần cứng.

Ví của bạn không lưu trữ tiền điện tử.

Nhiều người nghĩ rằng ví phần cứng được sử dụng để lưu trữ tiền điện tử, nhưng trên thực tế, chúng được sử dụng để lưu trữ khóa cá nhân của bạn. Tất cả các loại tiền điện tử tồn tại trên blockchain và khóa riêng của bạn chứng minh bạn sở hữu Token của mình. Đây là lý do tại sao điều quan trọng là phải giữ khóa bí mật của bạn ở chế độ riêng tư.

Điện thoại dự phòng của bạn không phải là ví phần cứng.

Việc sản xuất ví phần cứng rất phức tạp — và có lý do chính đáng. Mọi người sử dụng các thiết bị này để bảo mật tài sản kỹ thuật số trị giá hàng triệu đô la và đảm bảo an toàn cho tiền của khách hàng là rất quan trọng để xây dựng và duy trì thương hiệu ví phần cứng thành công.

Vì lý do này, các thành phần ví phần cứng khác nhau thường là độc quyền, nghĩa là không thể mua hoặc test chúng ngoài việc mua và phá bỏ thiết bị. Một số ví thậm chí còn có tính năng bảo vệ giả mạo tích hợp để ngăn chặn điều này. Điện thoại sử dụng các bộ phận dễ tiếp cận hơn nhiều, giúp kẻ tấn công dễ dàng nghiên cứu và phá vỡ hơn.

Ví phần cứng không an toàn %100

Không có thiết bị hoặc phần mềm nào là hoàn toàn bất khả xâm phạm. Việc vô tình tương tác với một hợp đồng thông minh độc hại có thể là một thảm họa và ngay cả chiếc ví an toàn nhất cũng không thể bảo vệ bạn khỏi các cuộc tấn công lừa đảo hoặc lừa đảo. Ví phần cứng không phải là kho tiền kỹ thuật số của ngân hàng — chúng giống chìa khóa mở hộp khóa công khai an toàn hơn. Chúng là công cụ giúp bạn lưu trữ và truy cập tài sản của mình một cách an toàn và chỉ an toàn như chính bạn.

Liệu nguồn mở có giúp được gì không?

Nếu ví được xây dựng bằng mã nguồn có sẵn công khai, thì việc test hàng loạt cá nhân có thể ngăn chặn các tác nhân độc hại thực hiện theo cách của họ — hoặc ít nhất đó là tuyên bố. Nhưng việc sản xuất ví phần cứng đòi hỏi nhiều sự tin tưởng hơn người ta có thể nghĩ, và không chỉ đối với nhà sản xuất.

Các doanh nghiệp khác trong chuỗi cung ứng có cơ hội hợp lý để chèn cửa hậu của riêng họ và những thiết bị này có chuỗi cung ứng phức tạp. Hầu hết các công ty ví phần cứng đều dựa vào các nhà sản xuất hợp đồng, có xu hướng dựa vào chuỗi cung ứng có nguồn gốc từ Trung Quốc.

Gần đây: Bitcoin 2023 ở Miami đối mặt với 'shitcoin trên Bitcoin'

Một lợi thế được cho là khác của ví phần cứng mã nguồn mở là tăng khả năng tương thích và cộng đồng tham gia nhiều hơn vào quá trình phát triển. Tuy nhiên, việc cung cấp mã công khai giúp tin tặc dễ dàng tìm kiếm các lỗ hổng hơn. Và vì ví sẽ được tạo bằng cách sử dụng các thành phần có sẵn công khai nên những kẻ lừa đảo sẽ dễ dàng tạo ví giả để đánh cắp tiền của bạn hơn.

Nicolas Bacca, đồng sáng lập và phó chủ tịch của Phòng thí nghiệm đổi mới tại Ledger, nói với Cointelegraph rằng thách thức lớn nhất đối với ví phần cứng nguồn mở là tạo ra một cách để người dùng dễ dàng xác minh xem thiết bị của họ có phải là chính hãng hay không với sự đảm bảo chắc chắn. Hầu hết các nhà sản xuất có uy tín đều cho phép bạn test số sê-ri của thiết bị trên trang web của họ để xác nhận tính hợp pháp của nó. Bạn có tin tưởng mọi doanh nghiệp trong chuỗi cung ứng ví phần cứng nguồn mở không?

Điều quan trọng cần nhớ là ví phần cứng nguồn mở hầu như sẽ luôn dựa vào các thành phần nguồn đóng, Bacca nói. Cách duy nhất để thực sự biết mức độ an toàn của nó là cố gắng phá vỡ nó và thiết kế ngược nó. Với ví mã nguồn đóng, điều này là không thể.

Cho đến nay, chưa có ví nào phát hành chương trình cơ sở có cửa hậu đã được chứng minh. Nếu phần sụn được mở, nó sẽ được xem xét kỹ lưỡng trên toàn thế giới. Vipul Saini, đồng sáng lập và giám đốc công nghệ của công ty ví phần cứng Cypherock, nói với Cointelegraph rằng trong các ví nguồn đóng, điều đó là không bao giờ có thể xảy ra.

Anh ấy tin rằng các hoạt động liên quan đến việc tạo và sử dụng khóa riêng nên được tạo thành mã nguồn mở. Đó là nơi mà các cửa hậu chính, như các cuộc tấn công kleptographic và các số ngẫu nhiên dự đoán, có thể dễ dàng được thiết lập, ông nói.

Vào tháng 4 năm 2022, một hacker mũ trắng từ nhóm bảo mật Ledger đã bắt được một lỗ hổng tương tự như một cửa hậu trong thế hệ hạt giống của Trust Wallet, một ví phần mềm mã nguồn mở thuộc sở hữu của Binance. Với chip có sẵn, bất kỳ bên nào trong chuỗi cung ứng đều có thể sửa đổi mã tải bộ nạp khởi động, một phần quan trọng để đảm bảo khách hàng nhận được thiết bị có phần sụn chính hãng.

Những người test mã sẽ không nhận thấy điều này vì cửa hậu có thể được chèn vào trong khi mã đang được tải vào thiết bị.

Với hạn chế này, không thể xây dựng một chuỗi tin cậy mạnh mẽ cho ví phần cứng nguồn mở, điều này hạn chế đáng kể việc phân phối và sử dụng an toàn của số lượng người dùng lớn nhất, ông nói thêm. Mô hình 'nhiều mắt' không thực sự hiệu quả đối với mã bảo mật, với ví dụ điển hình nhất về điều này là khai thác Heartbleed OpenSSL.

Ví nguồn mở có phải là tương lai không?

Khi nền tảng giao dịch tập trung tiếp tục nỗ lực xây dựng lại niềm tin với cộng đồng tiền điện tử, mọi người đang được khuyến khích lưu trữ tiền của họ trong ví phần cứng hơn bao giờ hết. Nếu phong trào nguồn mở thu hút được nhiều sự chú ý hơn, thì khả năng xác minh rằng thiết bị của bạn không bị giả mạo là rất quan trọng và điều này không dễ dàng nếu không có trung gian.

Một giải pháp là khuyến khích các nhà sản xuất ví phần cứng nguồn mở tuân thủ các tiêu chí của Hiệp hội phần cứng nguồn mở (OSHWA) và nhận được Giấy phép phần cứng mở CERN. Nhưng như những ví dụ như cuộc khủng hoảng tài chính toàn cầu năm 2008 đã cho thấy, giấy phép và chứng chỉ chỉ có thể đảm bảo rất nhiều.

OSHWA giúp cung cấp các nhãn phù hợp, xác định và chứng nhận thế nào là phần cứng mở, Bacca nói, đồng thời tuyên bố rằng nó không giúp bảo mật trước các cuộc tấn công, nhưng nó hữu ích để tránh các tuyên bố tiếp thị đáng ngờ. Bacca cũng đã đề cập đến một số nhà cung cấp hiện tại tuyên bố là nguồn mở mà không có giấy phép nguồn mở hoặc có mã độc quyền được trộn lẫn với cơ sở mã nguồn mở của họ.

Gần đây: Cách bảo mật, giáo dục và quy định có thể giảm thiểu các vụ lừa đảo tiền điện tử đang gia tăng

Từ cơ cấu khuyến khích không rõ ràng đến thử nghiệm hạn chế trong các trường hợp xác định trước, điều quan trọng là phải giải quyết các hạn chế của các tổ chức chứng nhận. Phong trào này cũng có thể dẫn đến sự hỗn loạn của các công ty tận dụng từ thông dụng nguồn mở, che giấu các yếu tố độc quyền của họ đằng sau các chứng chỉ dưới tiêu chuẩn.

Các nhà sản xuất mã nguồn đóng sử dụng các chip độc quyền để thực thi các đảm bảo gốc đáng tin cậy mạnh mẽ, nhưng một ví mã nguồn mở thuần túy sẽ sử dụng cái gì? Thực tế của thị trường là các đánh giá bảo mật có nhiều sắc thái hơn so với sự phân đôi đơn giản giữa nguồn mở và nguồn đóng.

Suy cho cùng, người tiêu dùng muốn có lựa chọn an toàn nhất đòi hỏi họ phải tin tưởng ít người nhất.

Theo CoinTelegraph