با در دست داشتن ۱۵ دقیقه کیف پول سخت افزاری ترزور ؛ میتوان آن را هک کرد!

بخش امنیت صرافی کراکن به اسم Kraken Security Labs در تاریخ ۳۱ ژانویه بیان کرد که کیف پول سخت افزاری ترزور و محصولات جانبی آن را می‌توان هک کرد تا کلیدهای خصوصی را از آنها برداشت کرد. هرچند کراکن مدعی شده است که این امر به ۱۵ دقیقه دسترسی فیزیکی به کیف پول سخت افزاری نیاز دارد.

این نوع حمله به مداخله فیزیکی بر روی کیف پول ترزور نیاز دارد و این مداخله می‌تواند برداشت چیپ و قرار دادن آن بر روی دستگاه مخصوص یا قرار دادن چند کانکتور مهم است. چیپ ترزور پس از برداشته شدن از کیف پول سخت افزاری باید به دستگاه گلیچر (Glitcher Device) نصب شود که سیگنال هایی در مواقع مشخص به دستگاه ارسال می‌کند. این امر، محافظت داخلی چیپ را از بین می‌برد. محافظت داخلی چیپ از خوانده شدن حافظه آن توسط دستگاه های خارجی جلوگیری می‌کند.

این امر به حمله کننده امکان می‌دهد تا پارامترهای مهم کیف پول نظیر سید کلید خصوصی را بخواند. اگرچه این سید با کلید PIN رمزگذاری شده است، اما محققان توانسته اند فقط طی ۲ دقیقه این کلید را رمزگشایی کنند.
این آسیب پذیری به دلیل سخت افزار استفاده شده توسط ترزور است، یعنی شرکت ترزور به آسانی نمی‌تواند این مشکل را برطرف کند. برای حل این مشکل باید کیف پول مجددا طراحی و تمام مدل های موجود جمع آوری شود.

در این خصوص کراکن از کاربران ترزور و کیپ‌کی (KeepKey) هشدار داده است که به هیچکس اجازه دسترسی فیزیکی به کیف پول خود را ندهند. ترزور‌ در پاسخ به این موضوع، تاثیر این آسیب پذیری را به حداقل رساند. این شرکت اذعان کرد که این حمله نشانه های کاملا مشخصی دارد زیرا دستگاه باید باز شود. هم چنین این حمله به تخصص سخت افزایش بسیار زیادی نیاز دارد.

در آخر، تیم ترزور به کاربران پیشنهاد کرد تا ویژگی عبارت عبور کیف پول را به منظور محافظت در مقابل چنین حمله هایی فعال کنند. کلمه عبور هرگز در دستگاه ذخیره نمی‌شود، زیرا به سید اضافه می‌شود تا کلید خصوصی تولید کند. کراکن هم چنین خاطرنشان کرده است که این یک روش جایگزین است، هرچند محققان استفاده از این روش را تا حدودی با مشکل می‌دانند.
این ویژگی هم چنین مسئولیت مهمی را بر دوش کاربر می‌گذارد. عبارت عبور باید به حدی پیچیده باشد تا به آسانی هک نشود و فراموش کردن آن نیز باعث از دست رفتن کامل سرمایه کاربر می‌شود.


منبع cointelegraph
ممکن است شما دوست داشته باشید

ارسال نظر

جدید ترین قدیمی ترین محبوب ترین
sss

سلام
ممنون از مقاله هایی که میزارید
من میخوام یه پروژه درمورد بلاکچین انجام بدم، ولی هنوز به نتیجه نرسیدم خوشحال میشم نظر شما رو بدونم
میخوام با پایتون یه بلاکچین جدید بنویسم. و همینطور یه کیف پول جدید. کیف پولم قراره سایت و اپ اندروید و ios باشه.
بنظرتون این ایدهی خوبیه؟ قراره پروژه پایان ترمم باشه
یا اگه منبع هایی سراغ دارید معرفی کنین

ادمین سایت

سلام وقت بخیر، تشکر از نظر و لطف شما خیلی خوبه که دنبال انجام پروژه با موضوعی که گفتین هستین ولی قبل از هر چیز به این موضوع حتما دقت بکنین که این حوزه در دانشگاه ها زیاد بهش پرداخته نشده و برای اساتید حوزه جدیدی هستش و عملا استادی نمیتونه خیلی خوب بهتون کمک و یا راهنمایی بکنه، قبل از راه اندازی یک بلاکچین باید توجیه اقتصادی براش داشته باشین، چه هدفی رو دنبال میکنین، چه کسانی قراره از این بلاکچین استفاده بکنن؟ صرفا به دید یک پروژه دانشگاهی بهش نگاه میکنین؟ سوالاتی که شما باید قبل از شروع… بیشتر بخوانید »

sss

ممنونم که جواب دادید.
درست میگید این تکنولوژی هنوز وارد دانشگاه ها نشده، ولی اگه بخوام خودمو محدود به تخصص استادام کنم اونوقت باید برم سراغ چیزای قدیمی.
درمورد توجیه اقتصادی و پشتوانه باید بگم برای هیچ کدوم برنامه ای ندارم
در واقع این یه پروژه ی تحقیقاتیه که میخوام با انجام دادنش چیزای لازم رو یادبگیرم و وارد دنیای بلاکچین بشم. هر چند خیلی دوست داشتم که پروژه ای بنویسم که بعدش واقعا عملیاتی بشه؛ ولی خب فعلا در این سطح به عنوان یه پروژه ی تستی بهش نگاه میکنم.
بازم ممنون😊