کراکن سکیوریتی لبز (Kraken Security Labs)، روز گذشته (۱۱ بهمن)، اعلام کرد که احتمال هک شدن کیف پولهای سختافزاری ترزور (Trezor)، و تمام نمونههایی که بر پایه آن ایجاد شده، و استخراج کلیدهای خصوصی آنها وجود دارد.
به گزارش کوین تلگراف و به نقل از کراکن سکیوریتی لبز، در صورتی که دسترسی فیزیکی به کیف پول وجود داشته باشد، در عرض پانزده دقیقه میتوان این کیف پولها را هک کرد و به کلیدهای خصوصی دسترسی یافت.
در صورتی که بتوان دسترسی فیزیکی به کیف پول ترزور را مهیا کرد، میتوان با اتصالات خاص یا جدا کردن چیپ کیف پول و قرار دادن آن بر روی دستگاهی خاص، کیف پول را هک کرد.
اگر مهاجم چیپ کیف پول را در اختیار داشته باشد، میتواند با قرار دادن آن بر روی دستگاهی با نام «گلیچر» (Glitcher)، سیگنالهای مشخصی را در زمان مورد نظر ارسال نماید. این کار باعث از کار افتادن سازوکارهایی میشود که مانع از خوانده شدن اطلاعات روی کیف پول میشود. در نهایت مهاجم میتواند به اطلاعات حیاتی نظیر سید (Seed) کلیدهای خصوصی دسترسی پیدا کند.
با اینکه سید با استفاده از یک پین رمزنگاری شده است، محققین کراکن سکیوریتی لبز توانستند در عرض دو دقیقه کلیدها را استخراج نمایند.
طبق گزارشها استفاده ترزور از یک سختافزار خاص باعث بروز این آسیبپذیری شده است و به همین راحتیها نمیتوان مشکل را حل نمود. تنها راهحل رفع این مشکل باز طراحی کیف پول و فراخوان جهت بازگرداندن تمام مدلها خواهد بود.
تا رفع این مشکل، کراکن از دارندگان کیف پولهای ترزور و کیپکی (KeepKey) خواسته است تا جلوی دسترسی فیزیکی افراد مختلف به کیف پولهای خود بگیرند.
ترزور در واکنش به این خبر، اعلام کرده است که گستردگی مشکل به اندازهای که عنوان شده، نیست. چرا که مهاجم ملزم به گشودن سختافزار کیف پول است و از طرف دیگر تجهیزات بسیار خاصی نیز نیاز است.
در نهایت تیم سازنده کیف پولها به دارندگان توصیه کرده است که از قابلیت «رمز عبور» (Passphrase) استفاده نمایند. این رمز عبور هیچگاه بر روی دستگاه ذخیره نمیشود و در حین تولید کلید خصوصی اضافه خواهد شد. کراکن ضمن کارآمد خواندن این روش آن را «دست و پا گیر» توصیف کرده است.
علاوه بر اینها، مسئولیت کاربر نیز اضافه خواهد شد؛ چرا که کاربر باید یک رمز عبور پیچیده دیگر را به خاطر بسپارد و از یاد رفتن آن ممکن است به قیمت از دست رفتن تمام سرمایه وی تمام شود.
کراکن هنوز اطلاعات جدیدی در این خصوص ارائه نکرده است و به محض انتشار اخبار جدید این خبر بهروزرسانی خواهد شد.
تحلیل کارشناس پارس بیت: کیف پول های سخت افزاری به عنوان یک خانه امن برای نگهداری سرمایه های رمزارزی در فضای مجازی مورد اعتماد ترین عنصر به حساب می آیند اما هرزگاهی خبری در مورد هک و یا دسترسی به کلیدهای خصوصی توسط تیم های امنیتی به گوش می رساند. سال گذشته نیز تیم امنیت کسپرسکی خبر از حفره های امنیتی در کیف پول سخت افزاری لجر داده بود که البته قبل از انتشار این خبر، شرکت در جریان این نقص قرار داده شده بود و این نقص توسط آپدیتی که بر روی نرم افزار این کیف پول سخت افزاری محبوب صورت گرفته بود، برطرف شده بود.
یکی از موارد مهمی که باید به آن توجه کرد این است که کیف پول های سخت افزاری در شرایطی آزمایشگاهی و با استفاده از دستگاه های خاص و همچنین داشتن دانش فنی بسیار قوی هک شده اند و کلیدهای خصوصی آن ها استخراج شده است. این امر علاوه بر کیف پول سخت افزاری ترزور برای کیف پول های سخت افزاری دیگر هم صادق است و جای نگرانی زیادی برای استفاده کنندگان از این کیف پول ها نیست.
هرچقدر امنیت در یک کیف پول بالا برود، کاربر پسند بودن آن کیف پول کمتر خواهد شد و همچنین احتمال از دست دادن پسوردها و یا کلمات کلیدی مورد استفاده کاربر توسط خودش بیش از پیش می شود. هر فردی که از رمزارزها استفاده می کند و به نحوی با آنها برخورد دارد باید حداقل موارد ایمنی در مورد کلمات کلیدی مورد استفاده خود را بداند و تا خطر سو استفاده یا دزدی یا هک را به حداقل برساند.
آیا شما تجربه بدی از کار با کیف پول های سخت افزاری دارین ؟!