اخبار کیف پول

کیف پول های Trezor چطور هک شد؟

کیف پول Trezor
نوشته شده توسط مهسا حسینی

آزمایشگاههای امنیتی Kraken Security در 31 ژانویه فاش کردند که کیف پول های سخت افزاری Trezor و مشتقات آنها برای استخراج کلیدهای خصوصی قابل هک شدن هستند. اگرچه این روش دشوار است ، اما Kraken ادعا می کند که “فقط به 15 دقیقه دسترسی فیزیکی دستگاه نیاز دارد.”

برای انجام این حمله نیاز به دسترسی فیزیکی به کیف پول Trezor یا درآوردن تراشه آن و قرار دادن آن بر روی دستگاه مخصوص و لحیم کاری چند اتصال دهنده مهم دارد.

تراشه Trezor پس از آن باید به  یک”دستگاه پرچین” وصل شود که سیگنال هایی  در لحظه های مشخصی ارسال کند. این محافظت داخلی دستگاه را که مانع خوانده شدن اطلاعات توسط دستگاه های خارجی می شود را از بین می برد.

این ترفند به مهاجم اجازه می دهد پارامترهای مهم کیف پول ، از جمله Seed کلید خصوصی را بخواند.

گرچه Seed با یک کلید تولید شده PIN رمزگذاری شده است ، اما محققان تنها در مدت دو دقیقه توانستند آن را رمز گشایی کنند.  


این آسیب پذیری از یک سخت افزار خاص مورد استفاده Trezor ناشی می شود، بدین معنی که شرکت نمی تواند به راحتی آن را برطرف کند. لازم است که کیف پول را مجدداً طراحی کرده و تمام مدلهای موجود را به جمع آوری کند.  

در عین حال ، Kraken از کاربران Trezor و KeepKey خواست که اجازه ندهند کسی به به کیف پول دسترسی پیدا کند.

در یک پاسخ هماهنگ منتشر شده توسط Trezor ، این تیم تأثیر آسیب پذیری را به حداقل رسانده است. این شرکت ادعا كرد كه این حمله به دلیل نیاز به باز كردن دستگاه ، نشانه های قابل توجهی از مداخله را نشان می دهد ، ضمن اینكه اظهار داشت كه برای انجام این حمله به سخت افزار ویژه ای نیاز است.

سرانجام ، این تیم به کاربران پیشنهاد كرد كه ویژگی عبارات عبور کیف پول را برای محافظت در برابر چنین حملاتی فعال كنند. رمز عبور هرگز بر روی دستگاه ذخیره نمی شود زیرا برای تولید کلید خصوصی در صورت نیاز، به Seed اضافه می شود. Kraken همچنين خاطرنشان كرد كه اين يك جايگزين مناسب است ،


این ویژگی همچنین مسئولیت قابل توجهی را بر دوش هر کاربر می گذارد. این عبارت باید به اندازه کافی پیچیده باشد تا به راحتی رمزگشایی نشود و فراموش کردن آن باعث می شود کاربران به طور کامل به پول های خود دسترسی نداشته باشند.

پیام بگذارید