همکاری لجر و ترزور برای رفع نقص امنیتی؛ داراییها در امان هستند
مفاهیم کلیدی- ترزور نقص امنیتی کیف پولهای Safe 3 و 5 را رفع کرد
- لجر به کشف و رفع نقص امنیتی ترزور کمک کرد
- ترزور: داراییهای کاربران امن هستند و نیازی به اقدام خاصی نیست
کمک Ledger به Trezor برای رفع آسیبپذیری امنیتی
شرکت Trezor، ارائهدهنده کیف پول سختافزاری، پس از اینکه بخش تحقیقات منبع باز شرکت رقیب خود، Ledger، یک آسیبپذیری را در میکروکنترلرهای دو مدل جدید آنها کشف کرد، این نقص امنیتی را برطرف کرده است. Ledger Donjon اذعان کرد که Trezor اخیراً پیشرفتهای امنیتی زیادی داشته است، اما عملیات رمزنگاری همچنان میتواند روی میکروکنترلر مدلهای Safe 3 و 5 Trezor انجام شود که میتواند آنها را "در برابر حملات پیشرفتهتر آسیبپذیر" کند.
خوشبختانه، Trezor از آن زمان به رفع آسیبپذیریهای کشفشده پرداخته است. مدیر ارشد فناوری Ledger، چارلز گیومه، در یک پست X در ۱۲ مارس گفت: «ما معتقدیم که ایمنتر کردن اکوسیستم به همه کمک میکند و برای پذیرش گستردهتر کریپتو و داراییهای دیجیتال حیاتی است.»
پیشرفتهای امنیتی Trezor
Trezor قبلاً "عناصر امن" - تراشههایی که برای محافظت از کد PIN کاربر و اسرار رمزنگاری طراحی شدهاند - را پیادهسازی کرده بود، زیرا برخی از دستگاههای Trezor میتوانستند با تغییر نرمافزار در حال اجرا روی آنها دستکاری شوند و به طور بالقوه به عوامل تهدید اجازه سرقت وجوه کاربر را بدهند. Ledger در یک پست در ۱۲ مارس گفت که ویژگی عناصر امن "به طور مؤثر هر حمله سختافزاری ارزانقیمت، بهویژه نقص ولتاژ را خنثی میکند." این ویژگی "به کاربران اطمینان میدهد که وجوه آنها حتی اگر دستگاهشان گم یا دزدیده شود، ایمن است."
با این حال، Ledger یک بردار حمله بالقوه دیگر را شناسایی کرد که از میکروکنترلر، بخش اصلی دیگر طراحی دو تراشهای Trezor برای مدلهای Safe 3 و 5 ناشی میشود. Trezor یک بررسی یکپارچگی سیستمافزار را برای شناسایی نرمافزارهای اصلاحشده پیادهسازی کرد، اما Ledger توانست نشان دهد که یک مهاجم همچنان میتواند این بررسی امنیتی را دور بزند. این مشکل از آن زمان توسط Trezor حل شده است، اگرچه نه Ledger و نه Trezor توضیح ندادهاند که چگونه.
واکنش Trezor و Ledger به مسائل امنیتی
Trezor در X تأیید کرد که وجوه کاربران ایمن است و نیازی به اقدام خاصی نیست. با این حال، هنگامی که از آنها پرسیده شد که آیا Trezor توانسته این مشکل را از طریق سیستمافزار برطرف کند، پاسخ دادند: "متأسفانه نه." آنها افزودند: "در امنیت سایبری، قانون طلایی ساده است: هیچ چیز کاملاً غیرقابل نفوذ نیست. به همین دلیل، ما قبلاً یک دفاع چندلایه در برابر حملات زنجیره تأمین پیادهسازی کردهایم و همیشه به کاربران خود توصیه میکنیم که از منابع رسمی خرید کنند."
Ledger نیز از آسیبپذیریهای امنیتی مصون نیست. در دسامبر ۲۰۲۳، یک هکر به کتابخانه اتصال Ledger نفوذ کرد و ۴۸۴,۰۰۰ دلار دارایی کریپتو را سرقت کرد. یک عامل تهدید دیگر که به سیستمهای Ledger نفوذ کرده بود، در ژوئن ۲۰۲۰ آدرسهای پستی حدود ۲۷۰,۰۰۰ مشتری Ledger را منتشر کرد.
