آيا كيف پولهاى ترزور قابل هك شدن هستند؟
به نقل از كوين تلگراف آزمایشگاههای امنیتی كراكن Kraken Security در 31 ژانویه فاش کردند که کیف پولهای سخت افزاری Trezor و مشتقات آنها برای استخراج کلیدهای خصوصی قابل هک شدن هستند. Kraken ادعا می کند که "فقط 15 دقیقه دسترسی فیزیکی به دستگاه نیاز دارد." این حمله و فرايند هك شدن نیاز به دستكارى فيزيكى بر روی کیف پول Trezor را دارد كه با بیرون کشیدن تراشه آن و قرار دادن آن بر روی دستگاه مخصوص و یا لحیم کاری دو اتصال دهنده مهم امكان پذير خواهد شد.
تراشه ترزور پس از آن باید به "دستگاه پرچین" وصل شود که می تواند اطلاعات آن را در لحظه های مشخصی ارسال كند. اين امر محافظت داخلي ترزور را ایجاد می کند که از خواندن حافظه تراشه توسط دستگاه های خارجی جلوگیری می کند.
این ترفند به مهاجم اجازه می دهد پارامترهای مهم کیف پول ، از جمله سيد کلید خصوصی را بخواند.
گرچه سيد با یک کلید تولید شده PIN رمزگذاری شده است ، محققان تنها در مدت دو دقیقه خواهند توانست آن را هك کنند.
این آسیب پذیری ناشی از سخت افزار خاص مورد استفاده Trezor است ، بدین معنی که شرکت نمی تواند به راحتی آن را برطرف کند. لازم است که کیف پول را طراحی مجدد کنند.
در همین حال ، کراکین از کاربران Trezor و KeepKey خواست که اجازه ندهند کسی به خود کیف پول دسترسی پیدا کند.
در یک پاسخ هماهنگ منتشر شده توسط Trezor ، این تیم تأثیر آسیب پذیری را به حداقل رسانده است. این شرکت ادعا كرد كه این حمله به دلیل نیاز به باز كردن دستگاه ، نشانه های قابل توجهی از دستکاری را نشان می دهد ، در عین حال خاطرنشان می كند كه این حمله نیاز به سخت افزار فوق العاده تخصصی برای انجام دارد.
سرانجام ، این تیم به کاربران پیشنهاد كرد كه ویژگی محافظ عبارت کیف پول را برای محافظت در برابر چنین حملاتی فعال كنند. رمز عبور هرگز بر روی دستگاه ذخیره نمی شود زیرا برای تولید کلید خصوصی ، به سيد اضافه می شود. کراکن همچنین خاطرنشان کرد که این یک جایگزین مناسب است.
این ویژگی همچنین مسئولیت قابل توجهی را به هر کاربر اضافه می کند. این عبارت باید به اندازه کافی پیچیده باشد تا به راحتی به خاطر سپرده نشود و فراموش کردن این امر باعث می شود تا كيف پول قفل شده و كاربران دسترسي به پول نداشته باشند.