لجر به رقیبش کمک کرد؛ شناسایی نقص امینی در کیف پول‌های ترزور!

لجر (Ledger)، شرکت ارائه‌دهنده کیف پول سخت‌افزاری، به ترزور (Trezor) نشان داد که می‌توان یک بررسی امنیتی در مدل‌های سیف ۳ (Safe 3) و سیف ۵ (Safe 5) این کیف پول را دور زد. این موضوع باعث شد ترزور برای رفع این نقص امینتی اقدام کند.

به گزارش میهن بلاکچین، ترزور – ارائه‌دهنده کیف پول سخت‌افزاری – پس از کشف آسیب‌پذیری در میکروکنترلرهای دو مدل جدید خود توسط تیم تحقیقاتی دانجن (Donjon) از شرکت لجر، این نقص امنیتی را برطرف کرد.

نقص امنیتی کیف پول‌های ترزور

تیم دانجن لجر تایید کرد که ترزور در ماه‌های اخیر پیشرفت‌های امنیتی قابل‌توجهی داشته، اما متوجه شد که همچنان امکان انجام عملیات رمزنگاری در میکروکنترلر مدل‌های سیف ۳ و سیف ۵ وجود دارد. این موضوع می‌توانست آن‌ها را در برابر حملات پیشرفته‌تر آسیب‌پذیر کند.

با این حال، چارلز گیلمت (Charles Guillemet) – مدیر ارشد فناوری لجز – در تاریخ ۱۲ مارچ (۲۲ اسفند) اعلام کرد که ترزور اکنون این آسیب‌پذیری‌ها را برطرف کرده است. او افزود:

ما معتقدیم که ایمن‌تر کردن اکوسیستم به نفع همه است و این امر، برای گسترش پذیرش ارزهای دیجیتال و دارایی‌های دیجیتال حیاتی است.

ترزور پیش‌تر قابلیت Secure Elements را پیاده‌سازی کرده بود؛ تراشه‌هایی که برای محافظت از کد PIN کاربر و اطلاعات رمزنگاری‌شده طراحی شده‌اند. برخی از دستگاه‌های ترزور ممکن بود از طریق تغییر نرم‌افزار داخلی آن‌ها در معرض دستکاری قرار بگیرند که این امر می‌توانست به مهاجمان اجازه دهد تا دارایی‌های کاربران را سرقت کنند.

لجر در تاریخ ۱۲ مارچ (۲۲ اسفند) توییتی منتشر کرده و توضیح داد:

سکیور المنتس (Secure Elements) باعث شده حملات سخت‌افزاری ارزان‌قیمت، به‌ویژه حملات مبتنی بر دستکاری ولتاژ، بی‌اثر شوند.

این ویژگی به کاربران اطمینان می‌دهد که حتی در صورت گم‌شدن یا سرقت دستگاهشان، دارایی‌هایشان در امان است.

با این حال، لجر متوجه شد که میکروکنترلر که یکی از بخش‌های اصلی طراحی دوتراشه‌ای مدل‌های سیف ۳ و سیف ۵ ترزور است، همچنان می‌تواند یک بردار حمله بالقوه باشد.

ترزور برای تشخیص تغییرات در نرم‌افزار خود، یک بررسی یکپارچگی فریم‌ور پیاده‌سازی کرده بود، اما لجر توانست نشان دهد که مهاجمان همچنان می‌توانند این بررسی امنیتی را دور بزنند.

با این حال ترزور این مشکل را برطرف کرده، اما هیچ‌یک از شرکت‌ها جزئیات فنی نحوه حل آن را منتشر نکرده‌اند. ترزور در پاسخ به اینکه آیا این مشکل از طریق به‌روزرسانی فریمور حل شده است یا خیر، اعلام کرد:

متاسفانه، خیر.

در امنیت سایبری یک قانون طلایی وجود دارد: هیچ چیز کاملاً شکست‌ناپذیر نیست. به همین دلیل، ما از قبل یک دفاع چندلایه برای مقابله با حملات زنجیره تامین پیاده‌سازی کرده‌ایم و همیشه به کاربران توصیه می‌کنیم که محصولات خود را از منابع رسمی خریداری کنند.

لجر خود نیز در گذشته با مشکلات امنیتی مواجه شده است. یک هکر در دسامبر سال ۲۰۲۳ توانست به کتابخانه کانکتور این شرکت نفوذ کرده و ۴۸۴,۰۰۰ دلار از دارایی‌های دیجیتال را سرقت کند.

همچنین، مهاجم دیگری در ژوئن سال ۲۰۲۰ به سیستم‌های لجر دسترسی پیدا کرده بود و آدرس‌های پستی حدود ۲۷۰,۰۰۰ کاربر این شرکت را افشا کرد.