آزمایشگاه امنیت کراکن (Kraken Security Labs) از شناسایی دو آسیب پذیری مهم در یکی از محبوب‌ترین کیف پول‌های سخت افزاری یعنی لجر نانو ایکس (Ledger Nano X) خبر داد. در ادامه این مطلب به تشریح آسیب پذیری در والت لجر نانو ایکس خواهیم پرداخت.

مدیر فنی کیف پول سخت افزاری لجر ضمن بیان این که این والت یکی از امن‌ترین دستگاه های ذخیره ارز دیجیتال است، اطمینان داد که سرمایه کاربران در خطر نیست.

چهارشنبه گذشته تیم امنیتی صرافی کراکن که امنیت محصولات رمزنگاری را بررسی می‌کنند از شناسایی ۲ حمله بالقوه به لجر نانو ایکس خبر داد. کراکن ادعا می‌کند اگر این حمله‌ها به موفقیت برسد، امنیت این کیف پول دیجیتالی محبوب زیر سوال خواهد رفت.

این حملات ممکن است به کاربران مخرب اجازه دهند تا به کامپیوتر متصل به والت دسترسی پیدا کنند و بدافزارهایی را روی آن نصب کنند که قادر به سرقت ارزهای دیجیتال هستند.

آسیب پذیری در والت لجر نانو ایکس

شناسایی دو آسیب پذیری در لجر نانو ایکس

این مطلب راهم مطالعه کنید: مدیران لجر و ترزور شایعه هک شدن والت لجر و ترزور را رد کردند

شناسایی آسیب پذیری در والت لجر نانو ایکس

آزمایشگاه امنیتی کراکن این دو حمله را تحت عناوین «Bad Ledger» و «Blind Ledger» تشریح کردند.

در حمله اول لجر نانو ایکس قبل از رسیدن به قربانی دستکاری می‌شود. به این صورت که فریمور پردازش والت با یک پروتکل دیباگینگ تغییر کرده و مانند یک کیبورد رفتار می‌کند و می‌تواند کنترل رایانه قربانی را به دست بگیرد.

کراکن ویدیویی را نشان داد که یک لجر نانو ایکس آلوده چگونه با استفاده از صفحه کلید کنترل کامیپوتر قربانی را به دست می‌گیرد و با استفاده از یک کیبورد شورت‌کات مرورگر کامپیوتر را باز می‌کند و وارد سایت صرافی می‌شود.

طبق ادعای کراکن، دستگاه و برنامه لجر لایو سافت‌ور والت را واقعی شناسایی می‌کند و متوجه دستکاری نمی‌شود.

در حمله دوم که با عنوان «Blind Ledger» توصیف می‌شود، پردازنده دستکاری شده والت می‌تواند صفحه نمایش را خاموش کند. به همراه یک حمله مهندسی اجتماعی (social engineering attack) زمانی که صفحه نمایش خاموش است بدافزار روی کامپیوتر قربانی را مجبور می‌کند تا کلیدهایی را فشار دهد که باعث انجام تراکنش‌های مخرب می‌شود.

با توجه به اینکه صفحه نمایش خاموش است، قربانی قادر به بررسی تراکنش روی والت نخواهد بود.

کراکن در ادامه به کاربران توصیه می‌کند حتما از فروشگا‌ه‌های معتبر کیف پول سخت افزاری لجر را خریداری کنند. همچنین باید متوجه خاموش شدن صفحه نمایش بعد از اتصال کیف پول به کامپیوتر باشند.

دارایی‌ها روی لجر در خطر نیست

با وجود این آسیب پذیری‌های بالقوه چارلز گیلمنت (Charles Guillemet) مدیر فنی لجر در بیانیه‌ای اعام کرده است که دارایی‌های ذخیره شده روی لجر قابل دسترسی نیستند:

ما از تیم کراکن بابت شناسایی این آسیب‌پذیری‌ها متشکریم. ضمن توجه به این آسیب‌پذیری‌ها و تلاش برای رفع آن به کاربران اطمینان می‌دهیم که دارایی‌های ذخیره شده روی لجر نانو ایکس هرگز قابل دسترسی نخواهد بود. چرا که امنیت لجر نانو ایکس متکی بر «Secure Element» است نه به تراشه MCU. این موضوع می‌تواند ناشی از خرابکاری‌هایی باشد که در طول زنجیره تامین این بدافزارها را روی کامپیوتر کاربران نصب کنند، اگر چه دارایی‌های کاربران همچنان در امان است.

گیلمت در ادامه به این نکته اشاره کرد که: «بسیار بعید است که این نوع حمله با موفقیت انجام شود. تاکنون هیچ گونه ضرر و زیان ناشی از این آسیب پذیری گزارش نشده است.»

اگر شما هم تجربه کار با والت لجر نانو ایکس را داریدبه شما توصیه می‌کنیم در استفاده از آن دقت بیشتری کنید و تجربه خود را از طریق کوین نیک با ما در میان بگذارید.

منبع: Cryptopotato