هشدار: باگ کیف پول سخت‌افزاری لجر موجب برداشت بیت کوین به جای آلتکوین می شود

طبق گزارش منتشر شده توسط محمد نخبه توسعه دهنده Liquality وجود یک اکسپلویت و باگ در کیف پول سخت‌افزاری لجر می‌تواند به عوامل مخرب امکان دهد تا به سرقت بیت کوین بپردازند.

این حمله با ایجاد تراکنشی توسط عامل مخرب کار می‌کند که مشابه با پرداخت آلتکوین است، در حالی که از کیف پول، بیت کوین برداشت می‌کند.

نخبه در این خصوص گفت:

حمله‌کننده می‌تواند از این روش استفاده کند تا بیت کوین انتقال دهد، در حالی که کاربر فکر می‌کند تراکنش آلتکوین کم ارزشتر دیگری را انجام می‌دهد.

این نکته‌ای نگران کننده است زیرا کاربر فکر می‌کند که ۰.۰۱ آلتکوین انتقال می‌دهد که بسیار کم ارزشتر از انتقال ۰.۰۱ بیت کوین است.

سخنگوی لجر در این خصوص گفت:

نسخه جدید برنامه بیت کوین فردا عرضه خواهد شد. در این نسخه، یک به‌روزرسانی قرار دارد که یک هشدار نشان خواهد داد و هنگامی که مسیر غیرمنتظره‌ای استفاده شود از کاربر تایید انتقال را درخواست می‌کند و بدین ترتیب این مشکل حل می‌شود.

وی افزود:

این محقق از طریق مختلف و بیشتر از طریق پیام‌های توییتر با ما تماس گرفت. آدرس ایمیل bounty@ledger.fr که برای کشف باگ و دریافت جایزه است هم‌چنان روش ارتباطی با ما است. بدین ترتیب از سختی پیش آمده در خصوص ایجاد ارتباط معذرت‌خواهی می‌کنیم. ذکر این نکته مهم است که ما هرگز از کشف این محقق امنیتی برای بهبود محصولات خود چشم‌پوشی نخواهیم کرد.

این باگ چگونه کار می‌کند؟

نخبه توضیح داد که اگرچه کیف پول سخت‌افزاری لجر از چندین ارز دیجیتال از طریق برنامه‌های تخصصی پشتیبانی می‌شوند و در هر لحظه فقط یکی از این برنامه‌ها قابل اجرا است. اما مشخص شده است که برنامه‌های خارجی می‌توانند به اطلاعات حتی از ارزهای دیجیتال مسدودشده دسترسی یابند.

وی گفت:

مشخص شده است که این دستگاه برای بیت کوین و فورک‌های بیت کوین، توابع (sic) خود را در معرض دسترس قرار می‌دهد. به عبارت دیگر، با باز کردن برنامه لایت کوین یک درخواست تایید برای انتقال بیت کوین دریافت خواهید کرد، در حالی که رابط کاربری انتقال لایت کوین را نشان می‌دهد.

نخبه در ادامه افزود:

پذیرش این درخواست تایید، یک تراکنش بیت کوین امضاشده و کاملا معتبر تولید می‌کند.

این موضوع بدان معنا است که دستگاه‌های لجر درخواست‌های مرتبط با بیت کوین دریافت خواهند کرد، حتی اگر در آن لحظه از بیت کوین استفاده نشده باشد. نکته بدتر این است که این تراکنش را به عنوان تراکنش آلتکوین مورد نظر نشان خواهد داد. نخبه افزود پیامد این موضوع بسیار مهم و جدی است.

این گزارش مدعی است که لجر از ماه ژانویه ۲۰۱۹ از این آسیب‌پذیری خبر داشته اما آن را اصلاح نکرده است.

دو راهی به وجود آمده از نگاه لجر

لجر در خصوص این گزارش تایید کرد اگرچه کیف پول‌های لجر تضمین می‌کند که برنامه‌های ارزهای دیجیتال نمی‌توانند از کلیدهای یکدیگر استفاده کنند، اما قطعا این موضوع برای برنامه بیت کوین و فورک‌های آن اعمال نشده و باعث شده است که مشتقات بیت کوین (نظیر لایت کوین) کلیدهای عمومی بیت کوین را دریافت کند یا تراکنش‌های بیت کوین را امضا کند تا از مسائل بالقوه جلوگیری شود.

دلیل این موضوع آن است که بسیاری از ارزهای دیجیتال از بلاک چین بیت کوین تکامل یافته‌اند و سابقه یکسان و مشابهی با بیت کوین دارند.

لجر در ادامه افزود:

بعضی از فورک‌های بیت کوین از مسیر یکسانی با بیت کوین استفاده می‌کنند. اگر از استفاده فورک‌ها از مسیر بیت کوین جلوگیری کنیم، در واقع از استفاده کاربران لجر نانو اکس و اس از این فورک‌ها جلوگیری خواهیم کرد. طبق آخرین خبرنامه امنیتی لجر، توسعه‌دهندگان باید بین امنیت و کاربرد یکی را انتخاب کنند.