سه تن از محققان و مهندسان مقاله ای در سی و پنجمین همایش ارتباطات ارائه دادند که طی آن مدعی آسیب پذیری کیف پول های سخت افزاری ارز دیجیتال شدند. بلافاصله پس از ارائه و انتشار این مقاله، کیف پول های سخت افزاری ترزور (Trezor) و لجر (ledger) واکنش نشان داده و گفتند موجودی ارز دیجیتال کاربرانشان در امنیت کامل میباشد.
دیمیتری ندوسپاسوف، توماس راث و جاش داتکو وبسایت wallet.fail را ایجاد کردند و وعده ارائه و انتشار مقاله خود در همایش CCC یا “کنگره ارتباطات هرج و مرج” را دادند. طی ۲۴ ساعت این ادعای محققان منتشر شد و دو سازنده مهم کیف پول سخت افزاری واکنش نشان دادند.
لجر: دارایی کریپتوی کاربران در امنیت کامل است
لجر طی پاسخ به این ادعا در پستی بر روی سایت خود نوشت باعث خوشحالی آنهاست که به چالش کشیدن امنیت را از جانب کاربران مشاهده میکنند. در این پست آمده است:
این محققان سه مسیر حمله ارائه دادند که این احساس را به وجود میآورد آسیب پذیری های بسیار مهمی در دستگاه های لجر کشف شده است. اما موضوع این نیست.
علی رغم آنکه محققان میگویند ارز دیجیتال و دارندگان ارز دیجیتال را دوست دارند، به نظر میرسد که لجر تا حدودی ناامید شده است و میافزاید:
در دنیای امنیت، روش معمول برای پیشروی به عهده گرفتن مسئولیت افشای اطلاعات است. ما از این موضوع متاسفیم که محققان، اصول استاندارد امنیت را که در برنامه لجر بیان شده است رعایت نکرده اند.
لجر هم چنین معتقد است که این سه محقق، آسیب پذیری های عملی ارائه نکردند و دلایل خود را بیان کرد.
دلیل اول به خاطر اینکه محققان حمله ای انجام دادند که ویژگی های فیزیکی کیف پول را تغییر داده اند و از بدافزار بر روی رایانه شخصی دارنده ارز دیجیتال استفاده کرده اند. هم چنین هکر باید رمز عبور (PIN) هک شده را وارد کرده و برنامه ارز دیجیتال را اجرا کند. لجر در خصوص این نوع حمله بیان کرد:
این موضوع ثابت میکند که این نوع حملات عملی و کاربردی نمیباشند و هکر از روش های کارآمد تری استفاده میکند.
دلیل دوم این است که هکرها سعی کردند با دور زدن بررسی MCU، حمله سایبری زنجیره تامین (supply chain attack) انجام دهند اما موفق نشدند. MCU صفحه رایانه را کنترل میکند اما به رمز (PIN) یا سید (seed) که در المان امنیتی (Secure Element) نگهداری میشود دسترسی ندارد.
هرچند لجر تایید میکند باگی در بروز رسانی فریمور وجود دارد که به محققان امکان افزودن نرم افزار را داد. لجر میگوید این باگ در نسخه بعدی فریمور دستگاه برطرف شده است و این باگ به غیر از رابط کاربری دیباگ JTAG امکان هیچ کاری نمیدهد و محققان نتوانستند به سرمایه ارز دیجیتال دسترسی یابند.
دلیل آخر این است که در کیف پول لجر بلو (Ledger Blue)، محققان هنگام وارد کردن PIN، اماناسیون رادیویی را اندازه گرفتند. این روش میتواند منجر به محاسبه PIN کاربر توسط هکر شود. لجر میگوید حمله مورد نظر جالب است اما در شرایط واقعی به این معنا خواهد بود که دستگاه باید در موقعیت ثابت و یکسانی بماند تا بتوان PIN آن را هک کرد. به نظر میرسد که لجر از قبل، چنین حمله ای را در نظر گرفته بوده است. لجر در این خصوص پاسخ میدهد:
ما صفحه کلید تصادفی و رندم را برای وارد کردن رمز PIN بر روی لجر نانو اس (Ledger Nano S) پیاده سازی کرده ایم و این اصلاحیه برای بروز رسانی بعدی فریمور لجر بلو نیز برنامه ریزی شده است.
ترزور: از کیف پول خود با خیال راحت استفاده کنید
هرچند به نظر میرسد که ترزور از اطلاعات به دست آمده اخیر استفاده و وجود آسیب پذیری را تایید میکند، با این حال میگوید این آسیب پذیری از نوع فیزیکی میباشد و شناسایی شده است:
هکر باید به صورت فیزیکی به دستگاه شما دسترسی داشته باشد. اگر بر کیف پول خود کنترل فیزیکی کامل دارید میتوانید با خیال راحت به استفاده از آن ادامه دهید و این آسیب پذیری برای شما تهدید به حساب نمیآید.
ترزور هم چنین گفته است که کاربران نگران میتوانند رمز عبور امن (passphrase feature) را بر روی کیف پول سخت افزاری ترزور فعال کنند، اما به این نکته توجه داشته باشند که فراموش کردن عبارت عبور به معنای از دست دادن سرمایه خود میباشد.
محققان معتقد بودند که نقطه ضعف بالقوه ای شناسایی کرده اند اما گویا اینگونه نیست. هم چنین به نظر میرسد که لجر و ترزور در خصوص شناسایی آسیب پذیری ها از سایرین جلوتر میباشند.
لجر در سال ۲۰۱۷ بیش از یک میلیون کیف پول فروخته است و با شراکت های جدید به پیشروی خود در این صنعت ادامه میدهد. ترزور نیز به توسعه کیف پول ادامه میدهد و به تازگی پشتیبانی از اتریوم را به کیف پول خود افزوده است.
