کیف پول ترزور هک شد!
کراکن سکیوریتی لبز (Kraken Security Labs)، روز گذشته (۱۱ بهمن)، اعلام کرد که احتمال هک شدن کیف پولهای سختافزاری ترزور (Trezor)، و تمام نمونههایی که بر پایه آن ایجاد شده، و استخراج کلیدهای خصوصی آنها وجود دارد.
به گزارش کوین تلگراف و به نقل از کراکن سکیوریتی لبز، در صورتی که دسترسی فیزیکی به کیف پول وجود داشته باشد، در عرض پانزده دقیقه میتوان این کیف پولها را هک کرد و به کلیدهای خصوصی دسترسی یافت.
در صورتی که بتوان دسترسی فیزیکی به کیف پول ترزور را مهیا کرد، میتوان با اتصالات خاص یا جدا کردن چیپ کیف پول و قرار دادن آن بر روی دستگاهی خاص، کیف پول را هک کرد.
اگر مهاجم چیپ کیف پول را در اختیار داشته باشد، میتواند با قرار دادن آن بر روی دستگاهی با نام «گلیچر» (Glitcher)، سیگنالهای مشخصی را در زمان مورد نظر ارسال نماید. این کار باعث از کار افتادن سازوکارهایی میشود که مانع از خوانده شدن اطلاعات روی کیف پول میشود. در نهایت مهاجم میتواند به اطلاعات حیاتی نظیر سید (Seed) کلیدهای خصوصی دسترسی پیدا کند.
با اینکه سید با استفاده از یک پین رمزنگاری شده است، محققین کراکن سکیوریتی لبز توانستند در عرض دو دقیقه کلیدها را استخراج نمایند.
طبق گزارشها استفاده ترزور از یک سختافزار خاص باعث بروز این آسیبپذیری شده است و به همین راحتیها نمیتوان مشکل را حل نمود. تنها راهحل رفع این مشکل باز طراحی کیف پول و فراخوان جهت بازگرداندن تمام مدلها خواهد بود.
تا رفع این مشکل، کراکن از دارندگان کیف پولهای ترزور و کیپکی (KeepKey) خواسته است تا جلوی دسترسی فیزیکی افراد مختلف به کیف پولهای خود بگیرند.
ترزور در واکنش به این خبر، اعلام کرده است که گستردگی مشکل به اندازهای که عنوان شده، نیست. چرا که مهاجم ملزم به گشودن سختافزار کیف پول است و از طرف دیگر تجهیزات بسیار خاصی نیز نیاز است.
در نهایت تیم سازنده کیف پولها به دارندگان توصیه کرده است که از قابلیت «رمز عبور» (Passphrase) استفاده نمایند. این رمز عبور هیچگاه بر روی دستگاه ذخیره نمیشود و در حین تولید کلید خصوصی اضافه خواهد شد. کراکن ضمن کارآمد خواندن این روش آن را «دست و پا گیر» توصیف کرده است.
علاوه بر اینها، مسئولیت کاربر نیز اضافه خواهد شد؛ چرا که کاربر باید یک رمز عبور پیچیده دیگر را به خاطر بسپارد و از یاد رفتن آن ممکن است به قیمت از دست رفتن تمام سرمایه وی تمام شود.
کراکن هنوز اطلاعات جدیدی در این خصوص ارائه نکرده است و به محض انتشار اخبار جدید این خبر بهروزرسانی خواهد شد.
زیاد سخت نگیرید نه به لجر نیاز دارید نه به ترزور کیف پول blockchain رو نصب کنید و با خیال راحت استفاده کنید.من خودم رو گوشیم mycielum نصب کردم هیچ مشکلی نداره نگران هک شدنش هم نیستم.