کیف پول سخت افزاری لجر و ترزور به ادعاهای هک واکنش نشان دادند!

سه تن از محققان و مهندسان مقاله ای در سی و پنجمین همایش ارتباطات ارائه دادند که طی آن مدعی آسیب پذیری کیف پول های سخت افزاری ارز دیجیتال شدند. بلافاصله پس از ارائه و انتشار این مقاله، کیف پول های سخت افزاری ترزور (Trezor) و لجر (ledger) واکنش نشان داده و گفتند موجودی ارز دیجیتال کاربرانشان در امنیت کامل می‌باشد.

دیمیتری ندوسپاسوف، توماس راث و جاش داتکو وبسایت wallet.fail را ایجاد کردند و وعده ارائه و انتشار مقاله خود در همایش CCC یا “کنگره ارتباطات هرج و مرج” را دادند. طی ۲۴ ساعت این ادعای محققان منتشر شد و دو سازنده مهم کیف پول سخت افزاری واکنش نشان دادند.

لجر: دارایی کریپتوی کاربران در امنیت کامل است

لجر طی پاسخ به این ادعا در پستی بر روی سایت خود نوشت باعث خوشحالی آنهاست که به چالش کشیدن امنیت را از جانب کاربران مشاهده می‌کنند. در این پست آمده است:

این محققان سه مسیر حمله ارائه دادند که این احساس را به وجود می‌آورد آسیب پذیری های بسیار مهمی در دستگاه های لجر کشف شده است. اما موضوع این نیست.

علی رغم آنکه محققان می‌گویند ارز دیجیتال و دارندگان ارز دیجیتال را دوست دارند، به نظر می‌رسد که لجر تا حدودی ناامید شده است و می‌افزاید:

در دنیای امنیت، روش معمول برای پیشروی به عهده گرفتن مسئولیت افشای اطلاعات است. ما از این موضوع متاسفیم که محققان، اصول استاندارد امنیت را که در برنامه لجر بیان شده است رعایت نکرده اند.

لجر هم چنین معتقد است که این سه محقق، آسیب پذیری های عملی ارائه نکردند و دلایل خود را بیان کرد.

دلیل اول به خاطر اینکه محققان حمله ای انجام‌ دادند که ویژگی های فیزیکی کیف پول را تغییر داده اند و از بدافزار بر روی رایانه شخصی دارنده ارز دیجیتال استفاده کرده اند. هم چنین هکر باید رمز عبور (PIN) هک شده را وارد کرده و برنامه ارز دیجیتال را اجرا کند. لجر در خصوص این نوع حمله بیان کرد:

این موضوع ثابت می‌کند که این نوع حملات عملی و کاربردی نمی‌باشند و هکر از روش های کارآمد تری استفاده می‌کند.

دلیل دوم این است که هکرها سعی کردند با دور زدن بررسی MCU، حمله سایبری زنجیره تامین (supply chain attack) انجام دهند اما موفق نشدند. MCU صفحه رایانه را کنترل می‌کند اما به رمز (PIN) یا سید (seed) که در المان امنیتی (Secure Element) نگهداری می‌شود دسترسی ندارد.

هرچند لجر تایید می‌کند باگی در بروز رسانی فریمور وجود دارد که به محققان امکان افزودن نرم افزار را داد. لجر می‌گوید این باگ در نسخه بعدی فریمور دستگاه برطرف شده است و این باگ به غیر از رابط کاربری دیباگ JTAG امکان هیچ کاری نمی‌دهد و محققان نتوانستند به سرمایه ارز دیجیتال دسترسی یابند.

دلیل آخر این است که در کیف پول لجر بلو (Ledger Blue)، محققان هنگام وارد کردن PIN، اماناسیون رادیویی را اندازه گرفتند. این روش می‌تواند منجر به محاسبه PIN کاربر توسط هکر شود. لجر می‌گوید حمله مورد نظر جالب است اما در شرایط واقعی به این معنا خواهد بود که دستگاه باید در موقعیت ثابت و یکسانی بماند تا بتوان PIN آن را هک کرد. به نظر می‌رسد که لجر از قبل، چنین حمله ای را در نظر گرفته بوده است. لجر در این خصوص پاسخ می‌دهد:

ما صفحه کلید تصادفی و رندم را برای وارد کردن رمز PIN بر روی لجر نانو اس (Ledger Nano S) پیاده سازی کرده ایم و این اصلاحیه برای بروز رسانی بعدی فریمور لجر بلو نیز برنامه ریزی شده است.

ترزور: از کیف پول خود با خیال راحت استفاده کنید

هرچند به نظر می‌رسد که ترزور از اطلاعات به دست آمده اخیر استفاده و وجود آسیب پذیری را تایید می‌کند، با این حال می‌گوید این آسیب پذیری از نوع فیزیکی می‌باشد و شناسایی شده است:

هکر باید به صورت فیزیکی به دستگاه شما دسترسی داشته باشد. اگر بر کیف پول خود کنترل فیزیکی کامل دارید می‌توانید با خیال راحت به استفاده از آن ادامه دهید و این آسیب پذیری برای شما تهدید به حساب نمی‌آید.

ترزور هم چنین گفته است که کاربران نگران می‌توانند رمز عبور امن (passphrase feature) را بر روی کیف پول سخت افزاری ترزور فعال کنند، اما به این نکته توجه داشته باشند که فراموش کردن عبارت عبور به معنای از دست دادن سرمایه خود می‌باشد.

محققان معتقد بودند که نقطه ضعف بالقوه ای شناسایی کرده اند اما گویا اینگونه نیست. هم چنین به نظر می‌رسد که لجر و ترزور در خصوص شناسایی آسیب پذیری ها از سایرین جلوتر می‌باشند.

لجر در سال ۲۰۱۷ بیش از یک میلیون کیف پول فروخته است و با شراکت های جدید به پیشروی خود در این صنعت ادامه می‌دهد. ترزور نیز به توسعه کیف پول ادامه می‌دهد و به تازگی پشتیبانی از اتریوم را به کیف پول خود افزوده است.