بخش امنیت صرافی کراکن به اسم Kraken Security Labs در تاریخ ۳۱ ژانویه بیان کرد که کیف پول سخت افزاری ترزور و محصولات جانبی آن را میتوان هک کرد تا کلیدهای خصوصی را از آنها برداشت کرد. هرچند کراکن مدعی شده است که این امر به ۱۵ دقیقه دسترسی فیزیکی به کیف پول سخت افزاری نیاز دارد.
این نوع حمله به مداخله فیزیکی بر روی کیف پول ترزور نیاز دارد و این مداخله میتواند برداشت چیپ و قرار دادن آن بر روی دستگاه مخصوص یا قرار دادن چند کانکتور مهم است. چیپ ترزور پس از برداشته شدن از کیف پول سخت افزاری باید به دستگاه گلیچر (Glitcher Device) نصب شود که سیگنال هایی در مواقع مشخص به دستگاه ارسال میکند. این امر، محافظت داخلی چیپ را از بین میبرد. محافظت داخلی چیپ از خوانده شدن حافظه آن توسط دستگاه های خارجی جلوگیری میکند.
این امر به حمله کننده امکان میدهد تا پارامترهای مهم کیف پول نظیر سید کلید خصوصی را بخواند. اگرچه این سید با کلید PIN رمزگذاری شده است، اما محققان توانسته اند فقط طی ۲ دقیقه این کلید را رمزگشایی کنند.
این آسیب پذیری به دلیل سخت افزار استفاده شده توسط ترزور است، یعنی شرکت ترزور به آسانی نمیتواند این مشکل را برطرف کند. برای حل این مشکل باید کیف پول مجددا طراحی و تمام مدل های موجود جمع آوری شود.
در این خصوص کراکن از کاربران ترزور و کیپکی (KeepKey) هشدار داده است که به هیچکس اجازه دسترسی فیزیکی به کیف پول خود را ندهند. ترزور در پاسخ به این موضوع، تاثیر این آسیب پذیری را به حداقل رساند. این شرکت اذعان کرد که این حمله نشانه های کاملا مشخصی دارد زیرا دستگاه باید باز شود. هم چنین این حمله به تخصص سخت افزایش بسیار زیادی نیاز دارد.
در آخر، تیم ترزور به کاربران پیشنهاد کرد تا ویژگی عبارت عبور کیف پول را به منظور محافظت در مقابل چنین حمله هایی فعال کنند. کلمه عبور هرگز در دستگاه ذخیره نمیشود، زیرا به سید اضافه میشود تا کلید خصوصی تولید کند. کراکن هم چنین خاطرنشان کرده است که این یک روش جایگزین است، هرچند محققان استفاده از این روش را تا حدودی با مشکل میدانند.
این ویژگی هم چنین مسئولیت مهمی را بر دوش کاربر میگذارد. عبارت عبور باید به حدی پیچیده باشد تا به آسانی هک نشود و فراموش کردن آن نیز باعث از دست رفتن کامل سرمایه کاربر میشود.
بخش امنیت صرافی کراکن به اسم Kraken Security Labs در تاریخ ۳۱ ژانویه بیان کرد که کیف پول سخت افزاری ترزور و محصولات جانبی آن را میتوان هک کرد تا کلیدهای خصوصی را از آنها برداشت کرد. هرچند کراکن مدعی شده است که این امر به ۱۵ دقیقه دسترسی فیزیکی به کیف پول سخت افزاری نیاز دارد.
این نوع حمله به مداخله فیزیکی بر روی کیف پول ترزور نیاز دارد و این مداخله میتواند برداشت چیپ و قرار دادن آن بر روی دستگاه مخصوص یا قرار دادن چند کانکتور مهم است. چیپ ترزور پس از برداشته شدن از کیف پول سخت افزاری باید به دستگاه گلیچر (Glitcher Device) نصب شود که سیگنال هایی در مواقع مشخص به دستگاه ارسال میکند. این امر، محافظت داخلی چیپ را از بین میبرد. محافظت داخلی چیپ از خوانده شدن حافظه آن توسط دستگاه های خارجی جلوگیری میکند.
این امر به حمله کننده امکان میدهد تا پارامترهای مهم کیف پول نظیر سید کلید خصوصی را بخواند. اگرچه این سید با کلید PIN رمزگذاری شده است، اما محققان توانسته اند فقط طی ۲ دقیقه این کلید را رمزگشایی کنند.
این آسیب پذیری به دلیل سخت افزار استفاده شده توسط ترزور است، یعنی شرکت ترزور به آسانی نمیتواند این مشکل را برطرف کند. برای حل این مشکل باید کیف پول مجددا طراحی و تمام مدل های موجود جمع آوری شود.
در این خصوص کراکن از کاربران ترزور و کیپکی (KeepKey) هشدار داده است که به هیچکس اجازه دسترسی فیزیکی به کیف پول خود را ندهند. ترزور در پاسخ به این موضوع، تاثیر این آسیب پذیری را به حداقل رساند. این شرکت اذعان کرد که این حمله نشانه های کاملا مشخصی دارد زیرا دستگاه باید باز شود. هم چنین این حمله به تخصص سخت افزایش بسیار زیادی نیاز دارد.
در آخر، تیم ترزور به کاربران پیشنهاد کرد تا ویژگی عبارت عبور کیف پول را به منظور محافظت در مقابل چنین حمله هایی فعال کنند. کلمه عبور هرگز در دستگاه ذخیره نمیشود، زیرا به سید اضافه میشود تا کلید خصوصی تولید کند. کراکن هم چنین خاطرنشان کرده است که این یک روش جایگزین است، هرچند محققان استفاده از این روش را تا حدودی با مشکل میدانند.
این ویژگی هم چنین مسئولیت مهمی را بر دوش کاربر میگذارد. عبارت عبور باید به حدی پیچیده باشد تا به آسانی هک نشود و فراموش کردن آن نیز باعث از دست رفتن کامل سرمایه کاربر میشود.
