امنیت کیف پول های سخت افزاری (Hardware Wallets) چقدر است؟ (ریدایرکت شد)
امنیت کیف پول های سخت افزاری ارزهای دیجیتال مانند لجر و ترزور چقدر است؟ میتوان برای نگهداری رمز ارزها به امنیت والت های سخت افزاری تکیه کرد؟
کیف پول سخت افزاری که با نام حافظه ذخیرهسازی سرد هم شناخته میشود، اغلب مطمئنترین راه برای ذخیره بیت کوین و سایر ارزهای دیجیتال است. ازجمله بهترین والتهای سخت افزاری میتوان کیف پول لجر نانو اس (Ledger Nano S)، کیف پول ترزور (Trezor) و کیف پول کول والت اس (Cool Wallet S) را نام برد. اولین ویژگی والت های سخت افزاری این است که به ندرت به یک رایانه آنلاین متصل میشوند که همین امر، امنیت را افزایش داده و هک شدن آنها را بسیار سخت میکند. ویژگی دوم این است که این والتها، از تراشههای امنیتی استفاده میکنند که برای کنترل کلیدهای خصوصی به روشی کاملا کنترل شده طراحی شدهاند. این امر باعث تبدیل شدن آنها به یکی از مطمئنترین انواع والتهای موجود شده است.
با این حال، امنیت کیف پول های سخت افزاری مورد سوال قرار گرفته است. اخیراً، والت لجر آسیب پذیریهایی را در والت سخت افزاری یکی از رقبای خود یعنی ترزور نشان داد. اما تقریب همهی برندهای والتهای سخت افزاری، آسیب پذیریهایی را در گذشته داشتهاند. بنابراین، آیا این کیف پولها واقعا در معرض خطر هستند یا اینکه این موضوع بزرگ نمایی و اغراق شده است؟
امنیت کیف پول های سخت افزاری لجر و ترزور
در اوایل سال جاری، بخش امنیتی لجر به نام دونجون (Donjon)، چندین نقص امنیتی را در کیف پولها و کلونهای ترزور کشف کرد. در ماه ژوئیه، این گروه آسیب پذیری قابل توجهی را کشف کرد که به مهاجمان امکان دسترسی به این والت و سرقت ارز دیجیتال را داده بود. اما Trezor این موضوع را به طور جدی رد كرد و نوشت:
با وجود غرضورزی مداوم از طریق انتشار همان اخبار قدیمی، پاسخ ما همان است: هدف اصلی کیف پول های سخت افزاری امنیت و محافظت در برابر حملات از راه دور است. اگر حملات فیزیکی در الگوی تهدیدی شما قرار دارد، میتوانید با یک رمز عبور از والت خود محافظت کنید.
گروه دونجون لجر اذعان کرده که این آسیب پذیری فقط در صورت دسترسی مستقیم مهاجمان به دستگاه هدف اتفاق میافتد و ایجاد یک رمز عبور به راحتی از حمله جلوگیری میکند. با این حال، این گروه معتقد است که دسترسی به این آسیب پذیری بسیار آسانتر از سو استفادههای قبلی است. شرکت لجر اظهار داشته است که:
این حمله دیگر به تجهیزات تخصصی نیازی ندارد و در عوض، با یک دستگاه ۱۰۰ دلاری قابل انجام است.
همانطور که ترزور نشان داده، این آسیب پذیری، چیز جدیدی نیست. در ماه مارس، شرکت Ledger چند نقص دیگر در کیف پول Trezor را فاش کرد که البته اکثر آنها پس از بهروزرسانی سفتافزار (Firmware – نرم افزار داخلی) آن برطرف شدند. با این حال، این مشکل خاص به دلیل اینکه در سخت افزار آن وجود دارد، غیرقابل رفع شدن است. از این رو لجر تأکید کرده که این حمله “عملی و قابل انجام” است، در حالی که ترزور اظهار داشته این حمله غیرعملی است و به راحتی میتوان از آن پیشگیری کرد.
جنگ کیف پول های سخت افزاری بر سر امنیت
لازم به ذکر است که لجر و ترزور با هم در رقابت شدیدی هستند. طبق گفته وبلاگ اصلی خود لجر، گروه دونجون از ماه نوامبر سال ۲۰۱۸ تا کنون محصولات خود Ledger را مورد بررسی قرار داده است. با این حال، از زمان راه اندازی این گروه، تمام اعلامیههای آن مربوط به نقص امنیتی در محصولات رقبای لجر بوده است.بنابراین تصور ما این است که لجر به منظور بهبود وجهه خود، چنین مشكل جزئی را شاخ و برگ داده و از آن سو استفاده میکند.
خود لجر نیز در واقع هدف اتهامات مشابه بوده است. دسامبر سال گذشته، محققان امنیتی مستقل در طی رویدادی به نام wallet.fail آسیب پذیری در محصولات Ledger و Trezor را نشان دادند. با وجود تصدیق این ادعاها توسط این دو شرکت، اما همچنین تأکید بر این داشتند که بسیاری از این سو استفادهها نیاز به دسترسی مستقیم به کیف پول مورد نظر را دارند. به طور خلاصه: لجر خطوط فیزیکی حمله را دقیقاً مطابق آنچه که ترزور داشته را رد کرده است.
به بیان سادهتر، حملاتی والت های سخت افزاری، که به نزدیک بودن به والت مورد نظر بستگی دارند، تهدید نسبتا بزرگی نیستند. در یکی از بررسیهای صرافی بایننس، مشخص شده که حملات فیزیکی تنها۶ درصد از کلیه حملات به یک دستگاه را شامل میشوند.
علاوه بر این، هنگامی که مهاجمان به شما یا کیف پول سخت افزاریتان نزدیک هستند، هیچ احتمالی را نمیتوان با یقین بررسی کرد. یک مهاجم میتواند شما را با قصد سرقت وجوه تهدید کرده، یا شما را درحال باز کردن قفل دستگاهتان مشاهده کند، که این اتفاق فراتر از حوزهی امنیتی تولید کننده است.
سایر مشکلات امنیتی والت های سخت افزاری
ممکن است حملات فیزیکی برای امنیت کیف پول های سخت افزاری خیلی نگران کننده نباشند، اما خطر حمله از راه دور، همچنان وجود دارد. به عنوان مثال، در ماه مارس، سیا (Sia، پلتفرم ذخیره سازی غیرمتمرکز) آسیب پذیری ترزور و لجر را کشف کرد که امکان انجام «باج» رمزنگاری را فراهم میکند. بیش از یک سال پیش، محققان امنیتی عیبی را کشف کردند که به مهاجمان اجازه دسترسی به والت سخت افزاری یوبیکی (YubiKey) از طریق یکی از ویژگیهای مرورگر گوگل کروم را میداد.
جدا از حملات عمدی موضوعات دیگری نیز وجود دارند. مثلا دوام خود سخت افزار موضوع قابل توجه دیگری است. کیف پول های سخت افزاری نسبت به ولتهای کاغذی دوام بیشتری دارند و گم شدن وجوه یا پاک شدن اطلاعات از آنها مشکلتر است. با این حال، این والتها شکست ناپذیر نبوده و احتمال آسیب دیدن و از بین رفتن نیز وجود دارد. صرفاً نگه داشتن چندین نسخه پشتیبان از کیف پول راه حل کافی است، اما در کل کیف والتها فلزی دوام بیشتری از بقیه دارند.
اشکالات نرم افزاری نیز میتوانند منجر به از دست دادن وجوه شما شوند. در ماه مارس، توسعه دهندگان مونرو (XMR) خطایی در طراحی افزونه کیف پول مونرو لجر ایجاد کردند که به طور تصادفی باعث از بین بردن موقت دسترسی کاربران به وجوه خود شده بود. این اشکال در ماه آوریل برطرف و بودجه کاربران نیز احیا شد. با این وجود شایان ذکر است که حوادث غیرعمدی میتوانند به مراتب ویرانگرتر از حملات مخرب و عمدی باشند.
آیا هر یک از اینها یک مشکل است؟
در کل تعداد کمی از موارد گفته شده در بالا مورد سوء ستفاده قرار گرفتهاند. به طور کلی، حمله به صرافیها و کیف پولهای نرم افزاری سودآورتر هستند. علاوه بر این، حملههایی که به جای تمرکز بر آسیب پذیریT به مهندسی اجتماعی تکیه دارند نیز بسیار رایجاند که از این میان میتوان فیشینگ، باج افزار و سرقت رمزنگاری را نام برد.
به عبارت دیگر، حمله به والتهای سخت افزاری چه از راه دور و چه از نظر فیزیکی، بسیار دشوار است. این مقاله بررسی جامع از تمام مشکلاتی که ممکن است برای امنیت کیف پول های سخت افزاری به وجود آید نیست، اما کاربران حوزه ارز دیجیتال به برندهای بزرگ والتهای سرد، اعتماد کردهاند. بنابراین، با وجود تعدادی زیادی خطرات احتمالی، کیف والت های سرد کاملا ایمن و مطمئن هستند.
تهیه شده در اکسچینو
سلام یک سوال کمپانی های سازنده کیف پول ها خودشون به ارز های ذخیره شده مشتری هاشون که بهشون کیف پول فروختن میتونن دسترسی داشته باشن؟
سلام. خیر، والتهایی از قبیل تراست، کوینومی، کوینکس، لجر و امثالهم، غیرامانی هستن و دسترسی ندارن
نظرات کاربران (2 نظر)
سلام یک سوال کمپانی های سازنده کیف پول ها خودشون به ارز های ذخیره شده مشتری هاشون که بهشون کیف پول فروختن میتونن دسترسی داشته باشن؟
سلام. خیر، والتهایی از قبیل تراست، کوینومی، کوینکس، لجر و امثالهم، غیرامانی هستن و دسترسی ندارن