کیف پول‌های سخت‌افزاری لجر در خطر دو حمله جدید؛ لجر می‌گوید دارایی‌ها امن هستند

کیف پول سخت‌افزاری لجر (Ledger) برای مدت کوتاهی در معرض دو نوع حمله جدید بود، اما شرکت لجر می‌گوید اقدامات پیشگیرانه را قبل از این‌که دیر شود انجام داده است.

براساس گزارش کوین تلگراف، آزمایشگاه‌های امنیتی کراکن (Kraken Security Labs)، بخش امنیت سایبری صرافی ارز دیجیتال آمریکایی کراکن، حملات بالقوه جدیدی را علیه کیف پول سخت‌افزاری محبوب لجر شناسایی کرده است.

طبق گزارش کراکن، در صورتی که این کیف پول حین حمل‌ونقل دستکاری شده یا از فروشنده‌ای نادرست خریداری شود و این حمله‌ها پیش از این‌که کاربر کیف پول را دریافت کند اجرا شوند، ممکن است بتوانند دارایی‌های کیف پول‌های لجر نانو ایکس (Nano X) را به سرقت ببرند. به عبارت دیگر، با استفاده از یک روزنه، هکرها قادر بودند رایانه‌های متصل به کیف پول‌های لجر را کنترل کرده و بدافزار خود را روی آن‌ها اجرا کنند. اما به گفته لجر، این مسئله حل شده است.

اگر به این مشکل رسیدگی نمی‌شد، احتمالاً اخباری با عناوین «حمله‌های بد لجر» (Bad Ledger attacks) یا «حمله‌های کور لجر» (Blind Ledger attacks) می‌شنیدیم. اولین نوع حمله روی مدل نانو ایکس لجر قادر است با دستکاری پروتکل رفع باگ برای فعالیت به‌عنوان یک دستگاه ورودی، مانند صفحه‌‌کلید، کیف پول را آلوده کند. با استفاده از میانبر‌های صفحه‌کلید، بدافزار می‌تواند مرورگری را باز کرده و برای انتقال دارایی‌ها، به صرافی کراکن هدایت شود. در نوع دوم حمله، هنگامی که صفحه نمایش دستگاه خاموش است، تراکنش‌های مخرب تأیید می‌شوند. این نوع سوء‌استفاده می‌تواند صفحه نمایش کیف پول را دستکاری کرده و کاربر را فریب دهد تا تراکنش‌های مخرب را تأیید ‌کند.

واکنش لجر به این کشف، انتشار بیانیه‌ای رسمی و امنیتی بود که تأیید می‌کرد این نقطه‌ضعف می‌تواند باعث ایجاد حمله‌هایی موسوم به «حمله‌های زنجیره تأمین» شود. حمله‌های زنجیره تأمین حملاتی هستند که فروشندگان آنها را ترتیب می‌دهند و در این مورد، حمله از طریق دستکاری دستگاه قبل از تحویل صورت می‌گیرد. این شرکت همچنین اعلام کرد که آخرین به‌روزرسانی ثابت‌افزار (فریم‌ور) از دارندگان این کیف‌ پول‌ها در برابر این حملات محافظت خواهد کرد. در این بیانیه آمده است:

به‌محض اینکه اپلیکیشن نصب شود، قابلیت‌های رفع باگ به‌طور دائم خاموش می‌شوند… هرگاه اپلیکیشن روی دستگاه نصب شود، این حمله‌ها دیگر نمی‌توانند اجرا شوند.

نانو اکس آخرین نسل کیف پول تولیدشده توسط تولیدکننده برجسته کیف پول‌های سخت‌افزاری، شرکت لجر، است. این کیف پول‌ که در سال ۲۰۱۹ عرضه شد، تنها کیف پول قابل شارژ لجر است که از طریق بلوتوث و بدون سیم کار می‌کند. در ۶ ژوییه (۱۶ تیر)، مدیر ارشد فنی شرکت لجر، چارلز گیلمت (Charles Guillemet)، آسیب‌پذیری کیف پول‌های لجر را در مقابل حمله دوباره خرج‌کردن (double-spend) تکذیب کرد.