cafekaala | افشای آسیب پذیری امنیتی کیف پول‌های لجر

cafekaala | افشای آسیب پذیری امنیتی کیف پول‌های لجر

cafekaala | افشای آسیب پذیری امنیتی کیف پول‌های لجر

تحقیقات اخیر، آسیب پذیری امنیتی جدیدی را در کیف پول سخت افزاری لجر (Ledger) نشان می‌دهد که می‌تواند به از دست رفتن بیت کوین های ذخیره شده در آن بی‌انجامد. گفته می‌شود شرکت لجر ماه‌ها قبل، از این آسیب پذیری مطلع بوده است. لجر مدعی است که این موضوع را پیگیری کرده است و مجبور است بین «امنیت و کارایی» یکی را انتخاب کند.

محققی ناشناس با نام مستعار مانوخ (Monokh) در پستی اعلام کرد «نوعی آسیب پذیری امنیتی در کیف پول‌های لجر وجود دارد که می‌تواند منجر به سرقت دارایی کاربران شود». در این پست آمده است که فرد حمله کننده می‌تواند از این ضعف امنیتی استفاده کرده و بیت کوین‌ها را انتقال دهد در حالی که کاربر گمان می‌کند که در حال انتقال التکوین‌ها (مانند لایت کوین “LTC”، بیت کوین کش “BCH” و غیره) است.

به عبارت دیگر، اگر اپ لایت کوین قفل نباشد، اعلانی به شما درخواست انتقال بیت کوین می‌دهد؛ این در حالی است که رابط کاربری، به شما انتقال لایت کوین به آدرس لایت کوین را نمایش می‌دهد. با تأیید این درخواست، اجازه انتقالی معتبر برای تراکنش بیت کوین از طرف شما صادر می‌شود.

این پست اضافه می‌کند کسانی که از فورک‌های بیت کوین در دستگاه خود استفاده می‌کنند، آسیب پذیرند و تا رفع این مشکل نباید از اپ‌های خود استفاده کنند.

به گفته مانوخ، لجر از روز اول افشای این باگ امنیتی (۲۹ دی) از موضوع مطلع بوده است و از آن تاریخ تا کنون برای رفع مشکل کاری صورت نداده و هیچ به روز رسانی واقعی انجام نشده است.

گزارش‌های خود لجر نیز این موضوع را رد نمی‌کند. لجر استدلال می‌کند «اعمال محدودیت یک یا چند مسیر برای هر یک از کوین‌ها موضوع بسیار مشکلی است» چرا که:

  • برخی از والت های نرم افزاری واسطه، از مسیرهای فرعی ناصحیحی استفاده می‌کنند که به ویژه برای کوین‌های قدیمی تر (همچون لایت کوین، دوج کوین، دش و …) که از کیف پول‌های واسطه مبتنی بر الکترام استفاده می‌کنند، خطراتی را ایجاد می‌کند.
  • برخی از فورک های بیت کوین از مسیرهای فرعی مشابه بیت کوین استفاده می‌کنند. اگر لجر مانع از استفاده این فورک ها از مسیرهای فرعی بیت کوین شود، آنگاه کاربران قادر نخواهند بود برای نگهداری و ارسال این کوین ها از کیف پول لجر نانو X/S استفاده کنند.

شرکت لجر در بیانیه اخیر خود گفت:

ناچاریم بین امنیت و کارایی یکی را انتخاب کنیم، قصد نداریم موقعیتی بوجود آوریم که دارایی کاربران قفل شده و کاربران، دیگر نتوانند دارایی خود را خرج کنند. از این روی تصمیم گرفتیم مسیری را در اپ بیت کوین قفل کنیم. همچنین در صورتی که یکی از اپ‌های فرعی بیت کوین بخواهد از یک مسیر فرعی برای انجام تراکنش استفاده کند، کاربران از لجر پیام هشدار دریافت خواهند نمود.

با این حال این موضوع به مذاق جامعه رمز ارزها خوش نیامده و به باور بسیاری از کاربران، لجر از ابتدا به ریسک این کار واقف بوده؛ اما عمداً به دلیل حفظ کاربردپذیری و پشتیبانی از سایر کوین ها، اقدامی صورت نداده است.

این در حالیست که لجر اخیراً با مشکلات امنیتی‌ دیگری نیز دست به گریبان بوده است. این شرکت هفته گذشته فاش کرد که در تاریخ ۱۷ ژوئن (۲۸ خرداد) به دلیل وجود یک رخنه امنیتی هک شده است. ظاهراً این رخنه به «شخص ثالث» اجازه دسترسی به جزئیات تماس‌های حداقل ۱ میلیون کاربر را داده است.

منبع: cryptonews.com

cafekaala | افشای آسیب پذیری امنیتی کیف پول‌های لجر

ممکن است شما دوست داشته باشید