امنیت کیف پول های سخت افزاری – Hardware Wallets چقدر است؟


امنیت کیف پول های سخت افزاری مانند لجر و ترزور از جمله مسائلی است که تریدر های بیت کوین و ارز های دیجیتال برای ذخیره رمز ارز های خود باید به آن توجه کنند.

کیف پول سخت افزاری که با نام کیف پول سرد هم شناخته می‌شود، اغلب مطمئن‌ترین راه برای ذخیره بیت کوین و سایر ارزهای دیجیتال است. ازجمله بهترین والت‌های سخت افزاری می‌توان کیف پول لجر نانو اس – Ledger Nano S، کیف پول ترزور – Trezor و کیف پول کول والت اس – Cool Wallet S را نام برد. اولین ویژگی کیف پول های سخت افزاری این است که به ندرت به یک رایانه آنلاین متصل می‌شوند که همین امر، امنیت را افزایش داده و هک شدن آن‌ها را بسیار سخت می‌کند. ویژگی دوم این است که این والت‌ها، از تراشه‌های امنیتی استفاده می‌کنند که برای کنترل کلیدهای خصوصی به روشی کاملاً کنترل شده طراحی شده‌اند. این امر باعث تبدیل شدن آن‌ها به یکی از مطمئن‌ترین انواع والت‌های موجود شده است.

با این حال، امنیت کیف پول ‌های سخت افزاری مورد سوال قرار گرفته است. اخیراً، کیف پول لجر آسیب پذیری‌هایی را در والت سخت افزاری یکی از رقبای خود یعنی ترزور – Trezor نشان داد. اما تقریباً همه‌ی برندهای والت‌های سخت افزاری، آسیب پذیری‌هایی را در گذشته داشته‌اند. بنابراین، آیا این کیف پول‌ها واقعاً در معرض خطر هستند یا اینکه این موضوع بزرگ نمایی و اغراق شده است؟

امنیت کیف پول های سخت افزاری لجر و ترزور

در اوایل سال جاری، بخش امنیتی لجر به نام دونجون – Donjon، چندین نقص امنیتی در کیف پول‌ها و کلون‌های ترزور کشف کرد. در ماه ژوئیه، این گروه آسیب پذیری قابل توجهی را کشف کرد که به مهاجمان امکان دسترسی به این کیف پول و سرقت ارز دیجیتال را داده بود. اما Trezor این موضوع را به طور جدی رد كرد و نوشت:

با وجود غرض‌ورزی مداوم از طریق انتشار همان اخبار قدیمی، پاسخ ما همان است: هدف اصلی کیف پول‌ های سخت افزاری امنیت و محافظت در برابر حملات از راه دور است. اگر حملات فیزیکی در الگوی تهدیدی شما قرار دارد، می‌توانید با یک رمز عبور از کیف پول خود محافظت کنید.

گروه دونجون لجر اذعان کرده که این آسیب پذیری فقط در صورت دسترسی مستقیم مهاجمان به دستگاه هدف اتفاق می‌افتد و ایجاد یک رمز عبور به راحتی از حمله جلوگیری می‌کند. با این حال، این گروه معتقد است که دسترسی به این آسیب پذیری بسیار آسان‌تر از سو استفاده‌های قبلی است. شرکت لجر اظهار داشته است که:

این حمله دیگر به تجهیزات تخصصی نیازی ندارد و در عوض، با یک دستگاه ۱۰۰ دلاری قابل انجام است.

همانطور که ترزور نشان داده، این آسیب پذیری، چیز جدیدی نیست. در ماه مارس، شرکت Ledger چند نقص دیگر در کیف پول Trezor را فاش کرد که البته اکثر آن‌ها پس از به‌روزرسانی فریمور – Firmware (نرم افزار داخلی) آن برطرف شدند. با این حال، این مشکل خاص به دلیل اینکه در سخت افزار آن وجود دارد، غیرقابل رفع شدن است. از این رو لجر تأکید کرده که این حمله “عملی و قابل انجام” است، در حالی که ترزور اظهار داشته این حمله غیرعملی است و به راحتی می‌توان از آن پیشگیری کرد.

ترزور

جنگ کیف پول های سخت افزاری بر سر امنیت

لازم به ذکر است که لجر و ترزور با هم در رقابت شدیدی هستند. طبق گفته وبلاگ اصلی خود لجر، گروه دونجون از ماه نوامبر سال ۲۰۱۸ تا کنون محصولات خود Ledger را مورد بررسی قرار داده است. با این حال، از زمان راه اندازی این گروه، تمام اعلامیه‌های آن مربوط به نقص امنیتی در محصولات رقبای لجر بوده است.بنابراین تصور ما این است که لجر به منظور بهبود وجهه خود، چنین مشكل جزئی را شاخ و برگ داده و از آن سو استفاده می‌کند.

خود لجر نیز در واقع هدف اتهامات مشابه بوده است. دسامبر سال گذشته، محققان امنیتی مستقل در طی رویدادی به نام wallet.fail آسیب پذیری در محصولات Ledger و Trezor را نشان دادند. با وجود تصدیق این ادعاها توسط این دو شرکت، اما همچنین تأکید بر این داشتند که بسیاری از این سو استفاده‌ها نیاز به دسترسی مستقیم به کیف پول مورد نظر را دارند. به طور خلاصه: لجر خطوط فیزیکی حمله را دقیقاً مطابق آنچه که ترزور داشته را رد کرده است.

به بیان ساده‌تر، حملاتی کیف پول های سخت افزاری، که به نزدیک بودن به والت مورد نظر بستگی دارند، تهدید نسبتا بزرگی نیستند. در یکی از بررسی‌های صرافی بایننس، مشخص شده که حملات فیزیکی تنها۶ درصد از کلیه حملات به یک دستگاه را شامل می‌شوند.

علاوه بر این، هنگامی که مهاجمان به شما یا کیف پول سخت افزاری‌تان نزدیک هستند، هیچ احتمالی را نمی‌توان با یقین بررسی کرد. یک مهاجم می‌تواند شما را با قصد سرقت وجوه تهدید کرده، یا شما را درحال باز کردن قفل دستگاه‌تان مشاهده کند، که این اتفاق فراتر از حوزه‌ی امنیتی تولید کننده است.

سایر مشکلات بالقوه

ممکن است حملات فیزیکی برای امنیت کیف پول های سخت افزاری خیلی نگران کننده نباشند، اما خطر حمله از راه دور، همچنان وجود دارد. به عنوان مثال، در ماه مارس، سیا – Sia (پلتفرم ذخیره سازی غیرمتمرکز) آسیب پذیری ترزور و لجر را کشف کرد که امکان انجام “باج” رمزنگاری را فراهم می‌کند. بیش از یک سال پیش، محققان امنیتی عیبی را کشف کردند که به مهاجمان اجازه دسترسی به والت سخت افزاری یوبی‌کی – YubiKey از طریق یکی از ویژگی‌های مرورگر گوگل کروم را می‌داد.

لجر نانو اس

جدا از حملات عمدی موضوعات دیگری نیز وجود دارند. مثلا دوام خود سخت افزار موضوع قابل توجه دیگری است. کیف پول‌ های سخت افزاری نسبت به کیف پول‌های کاغذی دوام بیشتری دارند و گم شدن وجوه یا پاک شدن اطلاعات از آن‌ها مشکل‌تر است. با این حال، این والت‌ها شکست ناپذیر نبوده و احتمال آسیب دیدن و از بین رفتن نیز وجود دارد. صرفاً نگه داشتن چندین نسخه پشتیبان از کیف پول راه حل کافی است، اما در کل کیف پول‌های فلزی دوام بیشتری از بقیه دارند.

اشکالات نرم افزاری نیز می‌توانند منجر به از دست دادن وجوه شما شوند. در ماه مارس، توسعه دهندگان مونرو – XMR خطایی در طراحی افزونه کیف پول مونرو لجر ایجاد کردند که به طور تصادفی باعث از بین بردن موقت دسترسی کاربران به وجوه خود شده بود. این اشکال در ماه آوریل برطرف و بودجه کاربران نیز احیا شد. با این وجود شایان ذکر است که حوادث غیرعمدی می‌توانند به مراتب ویرانگرتر از حملات مخرب و عمدی باشند.

آیا هر یک از این‌ها یک مشکل است؟

 در کل تعداد کمی از موارد گفته شده در بالا مورد سوء ستفاده قرار گرفته‌اند. به طور کلی، حمله به صرافیها و کیف پول‌های نرم افزاری سودآورتر هستند. علاوه بر این، حمله‌هایی که به جای تمرکز بر آسیب پذیریT به مهندسی اجتماعی تکیه دارند نیز بسیار رایج‌‌اند که از این میان می‌توان فیشینگ، باج افزار و سرقت رمزنگاری را نام برد.

به عبارت دیگر، حمله به والت‌های سخت افزاری چه از راه دور و چه از نظر فیزیکی، بسیار دشوار است. این مقاله بررسی جامع از تمام مشکلاتی که ممکن است برای امنیت کیف پول های سخت افزاری به وجود آید نیست، اما کاربران حوزه ارز دیجیتال به برندهای بزرگ والت‌های سرد، اعتماد کرده‌اند. بنابراین، با وجود تعدادی زیادی خطرات احتمالی، کیف پول‌های سرد کاملاً ایمن و مطمئن هستند.



ثبت نظر
نظرات کاربران (2 نظر)
مجید بیات

سلام یک سوال کمپانی های سازنده کیف پول ها خودشون به ارز های ذخیره شده مشتری هاشون که بهشون کیف پول فروختن میتونن دسترسی داشته باشن؟

0 پاسخ دهید
01:51:58 1400/09/10
مجتبی انصاری

سلام. خیر، والت‌هایی از قبیل تراست، کوینومی، کوینکس، لجر و امثالهم، غیرامانی هستن و دسترسی ندارن

0 پاسخ دهید
01:51:58 1400/09/10