تولیدکنندگان کیف پول سخت افزاری Ledger، که بیش از یک میلیون دستگاه سال گذشته فروخته است، به کاربران خود راجع به یک حمله بزرگ که اخیرا کشف شده است، هشدار دادند. اگر چه احتمال اینکه این حملات موفقیت آمیز باشد بسیار کم است اما امکان واقعی بودن آن وجود دارد.
از the Man in the Middle آگاه باشید
کیف پولهای سخت افزاری به عنوان یکی از امنترین ابزار ذخیرهسازی بیتکوین و دیگر رمزنگاریهای پولی شناخته میشوند. دستگاههای ذخیره سازی USB از حملههایی که با اتصال به وب صورت میگیرد ایمن هستند. اما برای ارسال وجوه و یا دریافت یک آدرس، یک کیف پول سخت افزاری باید به اینترنت متصل شود. محققان نوعی آسیب پذیری را کشف کردهاند که بر روی دستگاههای Ledger در این مرحله تأثیر میگذارد :
” کیف پول Ledger یک آدرس با استفاده از کد جاوا اسکریپت بر روی دستگاه میزبان تولید می کند … بدافزار به راحتی می تواند آدرس خود را جایگزین کد مسئول کند، و باعث شود تمام سپرده ها به حساب او منتقل شود.”
همانطور که در این گزارش توضیح داده شده است، به منظور جلوگیری از این حمله، تأیید صحت آدرس دریافتی لازم است. این راه حل، در حالی که موثر است، کاربردی نیست چرا که در آن بایستی کاربر به یاد داشته باشد هر بار که تراکنشی انجام می دهد، این موضوع را چک کند.
“یک راه حل بهتر ، وادار کردن کاربر برای تایید صحت آدرس دریافتی قبل از هر تراکنش است که کیف پول میتواند این قابلیت را داشته باشد .”
این سیستمی است که Trezor در حال حاضر برای کیف پول های سخت افزاری خود استفاده می کند، و مجوز استفاده از 2FA را به سادگی برای دسترسی به آدرس امکان پذیر میکند. Ledger نیز در حال تکمیل دستگاههای خود برای پیاده سازی این روش است. کیف پول های سخت افزاری همچنان به طور قابل ملاحظه ای امن تر از ذخیره پول در صرافیها هستند.
