Khôi phục ví Randstorm

Tham khảo. Độ ngẫu nhiên yếu. BitcoinJS

Randstorm: Khôi phục các ví BitcoinJS từ năm 2011 đến 2015

Nếu bạn bị khóa ngoài ví Bitcoin mà bạn đã tạo trên trình duyệt cách đây một thập kỷ, chính lỗ hổng khiến những ví đó trở nên dễ bị tấn công — Randstorm — đôi khi lại có thể giúp bạn lấy lại quyền truy cập vào số tiền của chính mình. Dưới đây là thông tin về lỗ hổng này, những ai bị ảnh hưởng và quy trình khôi phục diễn ra như thế nào.

Cập nhật tháng 7 năm 2026 · KeychainX — Dịch vụ khôi phục ví từ năm 2017

Mức độ an toàn của một khóa riêng tư phụ thuộc hoàn toàn vào mức độ ngẫu nhiên được sử dụng để tạo ra nó. Randstorm là tên gọi của một loạt lỗ hổng đã khiến, trong một giai đoạn nhất định của các trình duyệt web, mức độ ngẫu nhiên đó trở nên yếu hơn nhiều so với dự định ban đầu — dẫn đến việc một số lượng lớn ví Bitcoin được tạo ra trong khoảng thời gian từ năm 2011 đến 2015 có các khóa riêng tư có thể dự đoán được ở các mức độ khác nhau. Đối với kẻ tấn công, đây là một mối đe dọa; còn đối với chủ sở hữu hợp pháp của ví bị khóa, đây lại chính là yếu tố giúp họ có thể khôi phục ví.

Randstorm là gì

Randstorm đã được công ty phục hồi dữ liệu Unciphered đặt tên và công bố rộng rãi vào tháng 11 năm 2023 (họ đã phát hiện lại lỗ hổng này vào năm 2022 khi hỗ trợ một khách hàng bị khóa khỏi ví Blockchain.com). Nguyên nhân gốc rễ nằm ở hàm SecureRandom() trong thư viện JavaScript JSBN, kết hợp với các lỗ hổng trong cách các trình duyệt web chính vào thời điểm đó triển khai hàm Math.random(). Sự kết hợp này đã tạo ra các khóa riêng tư có mức entropy thấp hơn nhiều so với yêu cầu của một ví an toàn.

Thư viện BitcoinJS nổi tiếng đã dựa vào đoạn mã JSBN đó cho đến tháng 3 năm 2014, khi các nhà phát triển ngừng sử dụng nó. Do rất nhiều ví trình duyệt được xây dựng dựa trên BitcoinJS hoặc sao chép mã nguồn ban đầu của nó, lỗ hổng này đã lan rộng khắp hệ sinh thái. Điều quan trọng là tác động này không đồng đều: các khóa được tạo ra trước đó là dễ dự đoán nhất — các ví được tạo trước tháng 3 năm 2012 là dễ nhất — trong khi công sức cần thiết để bẻ khóa các ví được tạo sau đó, vào năm 2014 và 2015, lại tăng lên đáng kể.

Những loại ví nào bị ảnh hưởng?

Randstorm ảnh hưởng đến các ví được tạo lần đầu tiên trên trình duyệt web trong khoảng thời gian từ năm 2011 đến năm 2015 bằng BitcoinJS hoặc một dự án được phát triển dựa trên nền tảng này. Trong đó bao gồm:

  • Các ví giấy và ví trình duyệt bitaddress.org và BrainWallet thế hệ đầu tiên
  • Các dự án ví trình duyệt như CoinPunk và QuickCoin (hiện đã ngừng hoạt động)
  • Các ví web Blockchain.info / Blockchain.com đời đầu từ thời kỳ đó
  • Các ví Bitcoin khác và, trong một số trường hợp, ví Dogecoin được tạo ra bằng cùng một thư viện

Những thứ thường không bị ảnh hưởng là: các ví được tạo bằng thiết bị phần cứng (Trezor, Ledger), bằng phần mềm máy tính để bàn như Bitcoin Core, hoặc bằng các công cụ được cập nhật bản vá sau này. Dấu hiệu quan trọng nhất chính là thời điểm ra đời: nếu ví đó được tạo trong trình duyệt vào nửa đầu thập niên 2010, thì bạn nên kiểm tra lại.

Tôi có bị ảnh hưởng không?

Hãy đặt ba câu hỏi: ví đó có được tạo ra lần đầu tiên trong khoảng thời gian từ năm 2011 đến 2015 hay không; nó có được tạo trong trình duyệt web (thay vì trên thiết bị phần cứng hoặc trong phần mềm máy tính để bàn) hay không; và nó có được tạo trên một trang web hoặc công cụ được biết là sử dụng BitcoinJS hay không? Nếu cả ba câu trả lời đều là “có”, hãy coi ví đó là có khả năng bị ảnh hưởng. Hiện có các công cụ kiểm tra độc lập cho phép bạn kiểm tra một địa chỉ, và ví của bạn được tạo càng sớm trong khoảng thời gian đó, thì khả năng lỗ hổng này ảnh hưởng đến ví càng cao.

Randstorm và khôi phục

Đây chính là điểm mà lỗ hổng này mang lại cả lợi ích lẫn rủi ro. Nếu bạn là chủ sở hữu hợp pháp và chỉ đơn giản là không thể truy cập vào ví bị ảnh hưởng — do mất mật khẩu, ví không thể nhập dữ liệu, hoặc dịch vụ đã ngừng hoạt động — thì mức độ ngẫu nhiên bị giảm đôi khi có thể cho phép chúng tôi tái tạo khóa riêng từ thông tin công khai mà bạn cung cấp, và trao lại quyền kiểm soát số tiền của bạn cho bạn. Đây chính là cùng một nguyên lý toán học khiến các nhà nghiên cứu bảo mật lo ngại, nhưng được áp dụng để phục vụ lợi ích của người thực sự sở hữu các đồng tiền đó.

Hai lưu ý quan trọng. Thứ nhất, đây là dịch vụ khôi phục chỉ được chủ sở hữu ủy quyền: chúng tôi chỉ xử lý các ví mà quý vị có thể chứng minh là thuộc sở hữu của mình, tuyệt đối không can thiệp vào ví của bên thứ ba. Thứ hai, khả năng thực hiện phụ thuộc rất nhiều vào năm phát hành — một ví năm 2012 hoàn toàn khác biệt so với ví năm 2015, và một số trường hợp đơn giản là không thể giải quyết được. Chúng tôi sẽ đánh giá kỹ lưỡng vấn đề này trước khi nhận vụ việc, và chỉ tính phí khi thành công.

Nếu bạn vẫn đang quản lý ví tiền điện tử: hãy chuyển số tiền của bạn đi

An ninh là trên hết. Nếu bạn vẫn có thể truy cập vào một ví mà bạn cho rằng đã được tạo ra với độ ngẫu nhiên yếu, đừng để tiền trong đó. Hãy tạo một ví mới bằng phần mềm hiện đại và đáng tin cậy (ví phần cứng mới nhất là lựa chọn lý tưởng) và chuyển toàn bộ số tiền sang ngay lập tức. Một khóa có thể dự đoán được luôn tiềm ẩn rủi ro, bất kể ai là người phát hiện ra lỗ hổng — việc khôi phục chỉ dành cho những ví mà bạn không thể truy cập được, chứ không phải là lý do để tiếp tục giữ tiền trong ví bị ảnh hưởng.

Vị trí của vấn đề này trong công trình nghiên cứu về tính ngẫu nhiên yếu của chúng tôi

Randstorm là một trong số các vấn đề liên quan đến tính ngẫu nhiên yếu mà chúng tôi đang nghiên cứu. Cách tiếp cận tương tự — tìm hiểu chính xác cách một công cụ cụ thể tạo ra các khóa của nó và biến điều đó thành một quá trình tìm kiếm khả thi — cũng áp dụng cho các ví trong đợt bán trước Ethereum năm 2014 (mã nguồn ban đầu của chúng sử dụng hàm Math.random() của trình duyệt làm vectơ khởi tạo) cũng như các bộ tạo số ngẫu nhiên khác trong quá khứ. Chúng tôi không tiết lộ thông tin về Randstorm; điều chúng tôi mang lại là nhiều năm kinh nghiệm biến những lỗ hổng này thành số tiền được thu hồi cho những người sở hữu các ví đó.

Các câu hỏi thường gặp

Ví Bitcoin của tôi có bị ảnh hưởng bởi Randstorm không?

Có thể, nếu ví đó được tạo lần đầu tiên trong khoảng thời gian từ năm 2011 đến 2015 trên trình duyệt web bằng thư viện BitcoinJS hoặc trên một trang web được xây dựng dựa trên thư viện này, chẳng hạn như các phiên bản đầu tiên của bitaddress.org, BrainWallet, CoinPunk, QuickCoin hoặc các ví Blockchain.info thời kỳ đầu. Các ví được tạo sớm hơn trong khoảng thời gian đó, đặc biệt là trước tháng 3 năm 2012, là những ví bị ảnh hưởng nặng nề nhất. Các ví từ thiết bị phần cứng, phần mềm ra đời sau đó hoặc các trình tạo ví ngoại tuyến thường không bị ảnh hưởng.

Randstorm có thể giúp tôi khôi phục ví bị khóa của chính mình không?

Đôi khi. Nếu bạn là chủ sở hữu và bị khóa ngoài một ví thuộc các năm 2011–2015 bị ảnh hưởng, chính mức độ ngẫu nhiên thấp hơn – yếu tố khiến các ví này trở nên dễ bị tấn công – trong một số trường hợp có thể cho phép chúng tôi tái tạo khóa riêng từ thông tin công khai mà bạn cung cấp. Đây chỉ là việc khôi phục số tiền của chính bạn với sự cho phép của chủ sở hữu; mức độ khó khăn sẽ tăng đột biến đối với các ví được tạo ra vào giai đoạn sau trong khoảng thời gian này.

Tôi vẫn đang quản lý một ví bị ảnh hưởng. Tôi nên làm gì?

Hãy chuyển tiền của bạn đi. Nếu ví của bạn được tạo ra với độ ngẫu nhiên yếu, biện pháp an toàn nhất là tạo một ví mới bằng phần mềm hiện đại và đáng tin cậy, sau đó chuyển toàn bộ số tiền sang ví mới ngay lập tức. Đừng để tiền trong ví mà bạn nghi ngờ có thể đã bị ảnh hưởng.

Ai là người đã phát hiện ra Randstorm?

Lỗ hổng Randstorm đã được công ty phục hồi dữ liệu Unciphered đặt tên và công bố vào tháng 11 năm 2023, dựa trên những phát hiện trước đó về tính ngẫu nhiên yếu trong hàm SecureRandom. KeychainX là một dịch vụ phục hồi dữ liệu, không phải là bên công bố; chúng tôi áp dụng phân tích tính ngẫu nhiên yếu để giúp chủ sở hữu phục hồi các ví bị ảnh hưởng của chính họ.

Chi phí phục hồi Randstorm là bao nhiêu?

Dựa trên kết quả: chỉ nhận một tỷ lệ phần trăm trên giá trị thu hồi được nếu chúng tôi thành công, và không nhận gì nếu thất bại. Chúng tôi không bao giờ yêu cầu thanh toán trước, và chỉ xử lý các ví mà quý vị có thể chứng minh là thuộc sở hữu của mình.

Bạn không thể truy cập vào ví cũ từ năm 2011–2015?

Hãy cho chúng tôi biết loại ví, khoảng thời gian sản xuất và địa chỉ ví. Chúng tôi sẽ đánh giá một cách trung thực xem việc khôi phục theo phương pháp Randstorm có khả thi hay không — và bạn chỉ phải thanh toán nếu chúng tôi khôi phục được số tiền của bạn.

Liên hệ với KeychainX →

© 2017–2026 KeychainX AG · Baar, Zug, Thụy Sĩ