امنیت کیف پول های سخت افزاری (Hardware Wallets) چقدر است؟


امنیت کیف پول های سخت افزاری ارزهای دیجیتال مانند لجر و ترزور چقدر است؟ می‌توان برای نگهداری رمز ارزها به امنیت والت های سخت افزاری تکیه کرد؟

کیف پول سخت افزاری که با نام حافظه ذخیره‌سازی سرد هم شناخته می‌شود، اغلب مطمئن‌ترین راه برای ذخیره بیت کوین و سایر ارزهای دیجیتال است. ازجمله بهترین والت‌های سخت افزاری می‌توان کیف پول لجر نانو اس (Ledger Nano S)، کیف پول ترزور (Trezor) و کیف پول کول والت اس (Cool Wallet S) را نام برد. اولین ویژگی والت های سخت افزاری این است که به ندرت به یک رایانه آنلاین متصل می‌شوند که همین امر، امنیت را افزایش داده و هک شدن آن‌ها را بسیار سخت می‌کند. ویژگی دوم این است که این والت‌ها، از تراشه‌های امنیتی استفاده می‌کنند که برای کنترل کلیدهای خصوصی به روشی کاملا کنترل شده طراحی شده‌اند. این امر باعث تبدیل شدن آن‌ها به یکی از مطمئن‌ترین انواع والت‌های موجود شده است.

با این حال، امنیت کیف پول ‌های سخت افزاری مورد سوال قرار گرفته است. اخیراً، والت لجر آسیب پذیری‌هایی را در والت سخت افزاری یکی از رقبای خود یعنی ترزور نشان داد. اما تقریب همه‌ی برندهای والت‌های سخت افزاری، آسیب پذیری‌هایی را در گذشته داشته‌اند. بنابراین، آیا این کیف پول‌ها واقعا در معرض خطر هستند یا اینکه این موضوع بزرگ نمایی و اغراق شده است؟

امنیت کیف پول های سخت افزاری لجر و ترزور

در اوایل سال جاری، بخش امنیتی لجر به نام دونجون (Donjon)، چندین نقص امنیتی را در کیف پول‌ها و کلون‌های ترزور کشف کرد. در ماه ژوئیه، این گروه آسیب پذیری قابل توجهی را کشف کرد که به مهاجمان امکان دسترسی به این والت و سرقت ارز دیجیتال را داده بود. اما Trezor این موضوع را به طور جدی رد كرد و نوشت:

با وجود غرض‌ورزی مداوم از طریق انتشار همان اخبار قدیمی، پاسخ ما همان است: هدف اصلی کیف پول‌ های سخت افزاری امنیت و محافظت در برابر حملات از راه دور است. اگر حملات فیزیکی در الگوی تهدیدی شما قرار دارد، می‌توانید با یک رمز عبور از والت خود محافظت کنید.

گروه دونجون لجر اذعان کرده که این آسیب پذیری فقط در صورت دسترسی مستقیم مهاجمان به دستگاه هدف اتفاق می‌افتد و ایجاد یک رمز عبور به راحتی از حمله جلوگیری می‌کند. با این حال، این گروه معتقد است که دسترسی به این آسیب پذیری بسیار آسان‌تر از سو استفاده‌های قبلی است. شرکت لجر اظهار داشته است که:

این حمله دیگر به تجهیزات تخصصی نیازی ندارد و در عوض، با یک دستگاه ۱۰۰ دلاری قابل انجام است.

همانطور که ترزور نشان داده، این آسیب پذیری، چیز جدیدی نیست. در ماه مارس، شرکت Ledger چند نقص دیگر در کیف پول Trezor را فاش کرد که البته اکثر آن‌ها پس از به‌روزرسانی سفت‌افزار (Firmware – نرم افزار داخلی) آن برطرف شدند. با این حال، این مشکل خاص به دلیل اینکه در سخت افزار آن وجود دارد، غیرقابل رفع شدن است. از این رو لجر تأکید کرده که این حمله “عملی و قابل انجام” است، در حالی که ترزور اظهار داشته این حمله غیرعملی است و به راحتی می‌توان از آن پیشگیری کرد.

ترزور

جنگ کیف پول های سخت افزاری بر سر امنیت

لازم به ذکر است که لجر و ترزور با هم در رقابت شدیدی هستند. طبق گفته وبلاگ اصلی خود لجر، گروه دونجون از ماه نوامبر سال ۲۰۱۸ تا کنون محصولات خود Ledger را مورد بررسی قرار داده است. با این حال، از زمان راه اندازی این گروه، تمام اعلامیه‌های آن مربوط به نقص امنیتی در محصولات رقبای لجر بوده است.بنابراین تصور ما این است که لجر به منظور بهبود وجهه خود، چنین مشكل جزئی را شاخ و برگ داده و از آن سو استفاده می‌کند.

خود لجر نیز در واقع هدف اتهامات مشابه بوده است. دسامبر سال گذشته، محققان امنیتی مستقل در طی رویدادی به نام wallet.fail آسیب پذیری در محصولات Ledger و Trezor را نشان دادند. با وجود تصدیق این ادعاها توسط این دو شرکت، اما همچنین تأکید بر این داشتند که بسیاری از این سو استفاده‌ها نیاز به دسترسی مستقیم به کیف پول مورد نظر را دارند. به طور خلاصه: لجر خطوط فیزیکی حمله را دقیقاً مطابق آنچه که ترزور داشته را رد کرده است.

به بیان ساده‌تر، حملاتی والت های سخت افزاری، که به نزدیک بودن به والت مورد نظر بستگی دارند، تهدید نسبتا بزرگی نیستند. در یکی از بررسی‌های صرافی بایننس، مشخص شده که حملات فیزیکی تنها۶ درصد از کلیه حملات به یک دستگاه را شامل می‌شوند.

علاوه بر این، هنگامی که مهاجمان به شما یا کیف پول سخت افزاری‌تان نزدیک هستند، هیچ احتمالی را نمی‌توان با یقین بررسی کرد. یک مهاجم می‌تواند شما را با قصد سرقت وجوه تهدید کرده، یا شما را درحال باز کردن قفل دستگاه‌تان مشاهده کند، که این اتفاق فراتر از حوزه‌ی امنیتی تولید کننده است.

سایر مشکلات امنیتی والت های سخت افزاری

ممکن است حملات فیزیکی برای امنیت کیف پول های سخت افزاری خیلی نگران کننده نباشند، اما خطر حمله از راه دور، همچنان وجود دارد. به عنوان مثال، در ماه مارس، سیا (Sia، پلتفرم ذخیره سازی غیرمتمرکز) آسیب پذیری ترزور و لجر را کشف کرد که امکان انجام «باج» رمزنگاری را فراهم می‌کند. بیش از یک سال پیش، محققان امنیتی عیبی را کشف کردند که به مهاجمان اجازه دسترسی به والت سخت افزاری یوبی‌کی (YubiKey) از طریق یکی از ویژگی‌های مرورگر گوگل کروم را می‌داد.

لجر نانو اس

جدا از حملات عمدی موضوعات دیگری نیز وجود دارند. مثلا دوام خود سخت افزار موضوع قابل توجه دیگری است. کیف پول‌ های سخت افزاری نسبت به ولت‌های کاغذی دوام بیشتری دارند و گم شدن وجوه یا پاک شدن اطلاعات از آن‌ها مشکل‌تر است. با این حال، این والت‌ها شکست ناپذیر نبوده و احتمال آسیب دیدن و از بین رفتن نیز وجود دارد. صرفاً نگه داشتن چندین نسخه پشتیبان از کیف پول راه حل کافی است، اما در کل کیف والت‌ها فلزی دوام بیشتری از بقیه دارند.

اشکالات نرم افزاری نیز می‌توانند منجر به از دست دادن وجوه شما شوند. در ماه مارس، توسعه دهندگان مونرو (XMR) خطایی در طراحی افزونه کیف پول مونرو لجر ایجاد کردند که به طور تصادفی باعث از بین بردن موقت دسترسی کاربران به وجوه خود شده بود. این اشکال در ماه آوریل برطرف و بودجه کاربران نیز احیا شد. با این وجود شایان ذکر است که حوادث غیرعمدی می‌توانند به مراتب ویرانگرتر از حملات مخرب و عمدی باشند.

آیا هر یک از این‌ها یک مشکل است؟

 در کل تعداد کمی از موارد گفته شده در بالا مورد سوء ستفاده قرار گرفته‌اند. به طور کلی، حمله به صرافیها و کیف پول‌های نرم افزاری سودآورتر هستند. علاوه بر این، حمله‌هایی که به جای تمرکز بر آسیب پذیریT به مهندسی اجتماعی تکیه دارند نیز بسیار رایج‌‌اند که از این میان می‌توان فیشینگ، باج افزار و سرقت رمزنگاری را نام برد.

به عبارت دیگر، حمله به والت‌های سخت افزاری چه از راه دور و چه از نظر فیزیکی، بسیار دشوار است. این مقاله بررسی جامع از تمام مشکلاتی که ممکن است برای امنیت کیف پول های سخت افزاری به وجود آید نیست، اما کاربران حوزه ارز دیجیتال به برندهای بزرگ والت‌های سرد، اعتماد کرده‌اند. بنابراین، با وجود تعدادی زیادی خطرات احتمالی، کیف والت های سرد کاملا ایمن و مطمئن هستند.

تهیه شده در اکسچینو


برچسب ها:

ثبت نظر
نظرات کاربران (2 نظر)
مجید بیات

سلام یک سوال کمپانی های سازنده کیف پول ها خودشون به ارز های ذخیره شده مشتری هاشون که بهشون کیف پول فروختن میتونن دسترسی داشته باشن؟

0 پاسخ دهید
01:51:58 1400/09/10
مجتبی انصاری

سلام. خیر، والت‌هایی از قبیل تراست، کوینومی، کوینکس، لجر و امثالهم، غیرامانی هستن و دسترسی ندارن

0 پاسخ دهید
01:51:58 1400/09/10