کراکن سکیوریتی لبز (Kraken Security Labs)، روز گذشته (۱۱ بهمن)، اعلام کرد که احتمال هک شدن کیف پول‌های سخت‌افزاری ترزور (Trezor)، و تمام نمونه‌هایی که بر پایه آن ایجاد شده، و استخراج کلیدهای خصوصی آنها وجود دارد.

به گزارش کوین تلگراف و به نقل از کراکن سکیوریتی لبز، در صورتی که دسترسی فیزیکی به کیف پول وجود داشته باشد، در عرض پانزده دقیقه می‌توان این کیف پول‌ها را هک کرد و به کلیدهای خصوصی دسترسی یافت.

در صورتی که بتوان دسترسی فیزیکی به کیف پول ترزور را مهیا کرد، می‌توان با اتصالات خاص یا جدا کردن چیپ کیف پول و قرار دادن آن بر روی دستگاهی خاص، کیف پول را هک کرد.

اگر مهاجم چیپ کیف پول را در اختیار داشته باشد، می‌تواند با قرار دادن آن بر روی دستگاهی با نام «گلیچر» (Glitcher)، سیگنال‌های مشخصی را در زمان مورد نظر ارسال نماید. این کار باعث از کار افتادن سازوکارهایی می‌شود که مانع از خوانده شدن اطلاعات روی کیف پول می‌شود. در نهایت مهاجم می‌تواند به اطلاعات حیاتی نظیر سید (Seed) کلیدهای خصوصی دسترسی پیدا کند.

با اینکه سید با استفاده از یک پین رمزنگاری شده است، محققین کراکن سکیوریتی لبز توانستند در عرض دو دقیقه کلیدها را استخراج نمایند.

طبق گزارش‌ها استفاده ترزور از یک سخت‌افزار خاص باعث بروز این آسیب‌پذیری شده است و به همین راحتی‌ها نمی‌توان مشکل را حل نمود. تنها راه‌حل رفع این مشکل باز طراحی کیف پول و فراخوان جهت بازگرداندن تمام مدل‌ها خواهد بود.

تا رفع این مشکل، کراکن از دارندگان کیف پول‌های ترزور و کیپ‌کی (KeepKey) خواسته است تا جلوی دسترسی فیزیکی افراد مختلف به کیف پول‌های خود بگیرند.

ترزور در واکنش به این خبر، اعلام کرده است که گستردگی مشکل به اندازه‌ای که عنوان شده، نیست. چرا که مهاجم ملزم به گشودن سخت‌افزار کیف پول است و از طرف دیگر تجهیزات بسیار خاصی نیز نیاز است.

در نهایت تیم سازنده کیف پول‌ها به دارندگان توصیه کرده است که از قابلیت «رمز عبور» (Passphrase) استفاده نمایند. این رمز عبور هیچ‌گاه بر روی دستگاه ذخیره نمی‌شود و در حین تولید کلید خصوصی اضافه خواهد شد. کراکن ضمن کارآمد خواندن این روش آن را «دست و پا گیر» توصیف کرده است.

علاوه بر این‌ها، مسئولیت کاربر نیز اضافه خواهد شد؛ چرا که کاربر باید یک رمز عبور پیچیده دیگر را به خاطر بسپارد و از یاد رفتن آن ممکن است به قیمت از دست رفتن تمام سرمایه وی تمام شود.

کراکن هنوز اطلاعات جدیدی در این خصوص ارائه نکرده است و به محض انتشار اخبار جدید این خبر به‌روزرسانی خواهد شد.

منبع: وبسایت ارزدیجیتال


تحلیل کارشناس پارس بیت: کیف پول های سخت افزاری به عنوان یک خانه امن برای نگهداری سرمایه های رمزارزی در فضای مجازی مورد اعتماد ترین عنصر به حساب می آیند اما هرزگاهی خبری در مورد هک و یا دسترسی به کلیدهای خصوصی توسط تیم های امنیتی به گوش می رساند. سال گذشته نیز تیم امنیت کسپرسکی خبر از حفره های امنیتی در کیف پول سخت افزاری لجر داده بود که البته قبل از انتشار این خبر، شرکت در جریان این نقص قرار داده شده بود و این نقص توسط آپدیتی که بر روی نرم افزار این کیف پول سخت افزاری محبوب صورت گرفته بود، برطرف شده بود.
یکی از موارد مهمی که باید به آن توجه کرد این است که کیف پول های سخت افزاری در شرایطی آزمایشگاهی و با استفاده از دستگاه های خاص و همچنین داشتن دانش فنی بسیار قوی هک شده اند و کلیدهای خصوصی آن ها استخراج شده است. این امر علاوه بر کیف پول سخت افزاری ترزور برای کیف پول های سخت افزاری دیگر هم صادق است و جای نگرانی زیادی برای استفاده کنندگان از این کیف پول ها نیست.
هرچقدر امنیت در یک کیف پول بالا برود، کاربر پسند بودن آن کیف پول کمتر خواهد شد و همچنین احتمال از دست دادن پسوردها و یا کلمات کلیدی مورد استفاده کاربر توسط خودش بیش از پیش می شود. هر فردی که از رمزارزها استفاده می کند و به نحوی با آنها برخورد دارد باید حداقل موارد ایمنی در مورد کلمات کلیدی مورد استفاده خود را بداند و تا خطر سو استفاده یا دزدی یا هک را به حداقل برساند.

آیا شما تجربه بدی از کار با کیف پول های سخت افزاری دارین ؟!