جعل کیف پولهای Trezor One تکنیکهای جدید سرقت رمز ارزها را آشکار میکند
کیف پولهای رمزنگاری شده تولیدی توسط Trezor، مدت بسیار زیادی است که به عنوان استاندارد صنعت در نظر گرفته شده و از سوی رسانه جمعی، توسعهدهندگان بلاکچین و عاشقان کریپتو، ذخیره سرد مطمئنی برای ارزهای رمزنگاری شده محسوب میشوند. شرکت خود را با کیفیت محصولات خود به عنوان یکی از پیشروهای بازار کیفهای سختافزاری لقب میدهد. اما فقط به کمی زمان نیاز بود تا دستگاه اصلی Trezor، به مرکز اصلی توجه متقلبان و کلاهبرداران تبدیل شود.
در 19 نوامبر، شرکت به کاربرانی که از کپی تقریبا مشابه Trezor One استفاده میکردند، یک هشدار رسمی داد:
(PSA) در هفتههای اخیر ما دستگاههای غیراصلی Trezor One را که سعی در تقلید موارد اصلی داشتهاند، پیدا کردهایم.
برای اطلاعات بیشتر درباره شناسایی دستگاه Trezor One، لطفا جدیدترین پست وبلاگ ما را از این آدرس مطالعه کنید: https://t.co/tpe21iTVXm
-(Trezor (@Trezor در 19 نوامبر 2018
“تقلید، صادقانهترین شکل تملق است”
اعلامیهای که در وبسایت Trezor منتشر شده، با این ضربالمثل آغاز میشود. اگرچه مقامات رسمی شرکت متوجه شدند که “کپیهای Trezor سالهای زیادی است که منتشر شده”، یک “دستگاه جعلی Trezor که توسط سازنده نامشخص و متفاوتی تولید شده”، آغاز کشفهای آنها بودهاست.
ساتوشیلبز (SatoshiLabs) که یک تیم توسعه است، تلاشهای قابل توجهی برای تضمین تقلبی نبودن دستگاهها به هر شکل انجام داده و به تفاوتهای مهمی در زمینه محتوا و عملکرد رسیدهاست. همانطور که در راهنمای “چگونه تشخیص دهیم” همان پست وبلاگ، توضیح داده شده، دستگاه واقعی Trezor One اسم متفاوتی داشته و از سوی شرکتهای قانونی تولید میشود، در حالیکه دستگاههای کپی فقط ظاهر خارجی دستگاه را تکرار میکنند تا خریداران بالقوه را گول بزنند.
ساتوشیلبز (SatoshiLabs) هم عنوان کرده که دستگاههای تقلبی را میتوان فورا از بستهبندی آنها شناخت و این مسئله با دستگاه قانونی و طراحی هولوگرافی مخصوص آن و البته نبود عنوان “ساخت چین”، مشخص میشود و تفاوت دارد. اگرچه که شاید تقلید صادقانهترین شکل تملق باشد، احتمال دارد شباهتهای جزیی بین ظاهر دستگاههای تقلبی با اصلی به چشم بخورد و این مسئله نتواند نرمافزار را گسترش دهد. ممکن است دستگاههای تقلبی دچار اختلال یا پر از بدافزار باشند.
مشتریانی که از آمازون یا ebay برای خرید دستگاههای الکترونی استفاده میکنند، ممکن است با پیشنهاد خرید “فقط یک بار” یا “باز شده اما هرگز استفاده نشده” کیفهای Trezor One مواجه شده باشند. قیمت چنین آیتمی ممکن است از 39 دلار تا 49 دلار متغیر باشد.
کلاهبرداریهای سختافزاری کریپتوکارنسی
Trezor قبلا هم با شرایط مشابهی مواجه شدهاست، هرچند پیش از این کپی پر سر و صدای محصول را به چشم ندیده بود. شرکت همیشه تاکید کرده که نرمافزارش “ایمنترین” بوده و نسبت به حملات هک آسیبپذیر نیست.
هنگامی که در اواسط آگوست 2017، گروهی از هکرها موفق شدند کیفهای Trezor را با روشهای سادهای کرک کرده (شکسته) و دزدی و تقلبهایی در کلیدهای خصوصی این دستگاهها را ایجاد کنند، این ادعاها مورد سوال قرار گرفت. بعد از بررسیهای حادثه، Trezor عنوان کرد که ریشه هک کلیدهای خصوصی کیفها در یک فلش مموری ذخیره شده و سپس هنگام استفاده آن در رم دستگاههای مختلفی دوباره قرار گرفته است. بعدا مشخص شد که فقط کیفهای Trezor تحت تاثیر آسیبپذیری قرار گرفتهاند. در پاسخ به این اتفاق، Trezor در 16 آگوست، نسخه بهروز رسانی امنیتی firmware (نرمافزار دائمی) 1.5.2 را منتشر کرد و بعدا اعلام کرد که کاربران ایمن بودهاند و هیچ جای نگرانی برای آنها وجود نداشته است.
حملات به Trezor محدود نمیشد، زیرا که باقی دستگاهها هم تحت تاثیر باگها و بد اکتورها (bad actors) قرار گرفته بودند. گزارشی که در اوایل ژانویه 2018 توسط SpectreAttack منتشر شد از 2 باگ با عناوین Meltdown و Spectre خبر داد که قرار بود از آسیبپذیریهای امنیتی اینتل، AMD و ARM تمام دستگاههای نصبشده را سوءاستفاده کنند. فهرست دستگاهها شامل کامپیوترهای خانگی، لپتاپها، تبلتها و گوشیهای هوشمند میشد.
باگ Meltdown چیپهای اینتلی را تحت تاثیر قرار میداد که تقریبا در 90 درصد کامپیوترهای سطح جهان را شامل میشد. باگ Spectre هم روی چیپهای اینتل، ARM و AMD تمام دستگاهها تاثیر میگذاشت و گفته میشد هر دو نوع بدافزارها میتوانند در محیطهای ذخیره ابری هم فعالیت کنند.
Ledger Nano S یک کیف سختافزاری محبوب دیگر هم از نظر امنیتی دچار ضعف بودهاست. در 5 فوریه 2017، مشخص شد کاربران هنگام اتصال Ledger Nano S به دستگاه هکشده، نسبت به حملات و استفاده از آن برای انتقال مبالغ بین حسابها به صورت عادی و همیشگی، آسیبپذیر هستند. این کلاهبردار به سادگی میتوانست آدرس حسابها را کپی کند و به مبالغ ذخیرهشده در آن دسترسی داشته باشد.
در ژانویه 2017، به شرکتکنندگان مختلف کنفرانسهای مرتبط با بلاک چین و بیت کوین، کیفهای سختافزاری بیت کوین تقلبی داده شد و این کیفها محصولات قانونی Trezor و لجر را تکرار و تقلید میکرد. چنین کلکهایی به منظور سرقت سرمایههایی احتمالی و بعدی این دستگاهها بود.
کمی پیشتر در دسامبر 2016، یک هکر موفق شد هویت یک کاربر را جعل کرده و شماره تلفن او را از T-Mobile به یک حامل با عنوان پهنایباند (Bandwidth) که به حساب Google Voice هکر متصل بود، منتقل کند. سپس هکر تمام رمزهای عبور قربانی را ریست (بازنشانی) کرد و دهها بیت کوین را به سرقت برد. البته میزان دقیق بیت کوینها هرگز فاش نشد.
آسیبپذیریهای زیادی برای استفاده هکرها وجود دارد و آنها میتوانند با این موارد، ارزهای رمزنگاری شده سختبهدستآمده را بدزدند. به طور قابل توجه، شرکتهای نرمافزاری از تعداد زیادی از حقههای هکرها مطلع نیستند و این حقهها روز به روز شیطانیتر شده و نقشههای خطرناکتری برای دزدی کریپتو از قربانیان بیاطلاع آن میکشد.
شش آسیبپذیری کیفهای سختافزاری
دکتر کارل کِرِدِر (همبنیانگذار کیف مولد Grid+) در وبلاگ خود بر اساس تجربیات و مشاهدات شخصیاش، شش آسیبپذیری را نام میبرد. این شش مورد پتانسیل آن را دارند که کیفهای سختافزاری را دچار هک یا موارد مشابه کنند.
حمله مرد میانی (MIM)
همانطور که در مشاهدات کِرِدِر هم وجود داشت، حملات مرد میانی میتواند برخی از دستگاههای ذخیرهسازی سرد که صفحه نمایش آنها هنگام ارسال پول، آدرس گیرنده هشت رقمی داشتند را تحت تاثیر قرار دهد. طبق محاسباتی که کردر در آگوست 2017 انجام داد، هک کردن چنین دستگاههایی با استفاده از تولیدکنندههای آدرس مثل vante.me، نیازمند هزینه اقتصادی نسبتا پایینی است (حدود 800 دلار).
بروزرسانی firmware دستگاه USB
کیفهایی مثل لجر و Trezor میتوانند هنگام بهروزشدن از طریق یک پورت USB، آسیبپذیر باشند. این گزینه معمولا توسط یک تولیدکننده با کمک بهروزرسانی firmware دستگاه DFU) USB) ممکن میشود. همانطور که گزارش شد، بازار تا به حال تلاشهای موفقی برای استفاده از DFU به منظور حذف حافظه خانواده STM32F ریزکنترلکنندهها داشتهاست.
این مسئله میتواند سبب عواقب منفی برای صاحبان دستگاههای ذخیرهسازی سرد شود و این عواقب شامل دزدی از کلیدهای اختصاصی و ایجاد عامل خرابکار re-flashing کیف با کدهای خراب حین یک بهروزرسانی میشود.
شکستن (کرککردن) PINها
به عنوان یک قانون اگر دستگاه سختافزاری از بین رفت یا در دست افراد خرابکار افتاد، تولیدکنندگانی مثل Trezor و لجر، در صورتی که پین غلط سه بار وارد شود، کیف را ریست میکنند. این موضوع نمیگذارد خرابکار کنترل کیف را به دست بگیرد و یا حملات خطرناک مرتبط با پین رخ دهد.
طی کنفرانس دفکان (Defcon)، توسعهدهندگان Cryptotronix نشان دادند که Trezor STM32F205 ممکن است هنگام استفاده از Vcc و حملات نقص ساعت، دچار نقص شود. در نتیجه، دستگاه آسیبپذیر شده و کلیدهای خصوصی را میتوان با استفاده از یک شخص واسطه بدون نیاز به دانستن پین، به دست آورد.
زنجیره تامین
این همان آسیبپذیری پیشروی صاحبان Trezor One که کپیهای تقلبی خریدند، میباشد. در اصل دستگاه سختافزاری Trezor با استیکرهای هولوگرافی دارای برند و چسب مخصوصی که بستهبندی را نگه میدارد، محافظت میشود. این موضوع میبایست کیف را در مقابل خرابکاریهای پس از ارسال تولیدکننده به مشتری، محافظت کند. هرچند اگر دستگاه به دست یک متقلب بیافتد، او میتواند نسخه مخربی از نرمافزار نصب کرده یا کلید را دوباره وارد کند. وقتی که چنین اتفاقی افتاد، بدنه دستگاه با برچسب هولوگرافیک و چسب مشابه، مهر و موم میشود.
عبارت بازیابی
نویسنده یک عبارت بازیابی در نظر میگیرد تا “آسیبپذیرترین قطعه پازل امنیتی” باشد، زیرا این کلمه 12 تا 24 حرفی معمولا شامل متنهای خام شده و اغلب در یکی از کشوهای لباس نگهداری میشود.
نظارت
همانطور که ادوارد اسنودن هشدار داد، پینها و رمزهای عبور را میتوان با یک جاسوسی شیادانه از طریق یک کامپیوتر یا گوشی هوشمند یا وبکم معمولی به دست آورد. دارندگان ارزهای رمزنگاری شده هم از این قاعده مستثنی نیستند.
واکنش اجتماع
اجتماع به اخبار دستگاههای تقلبی Trezor One، با ترکیبی از خشم، نا امیدی و کمی همدردی، واکنش نشان دادند. برخی از افراد به ابزارهای امنیتی ضعیف Trezor در تکیه به برچسب هولوگرافیک به عنوان یک مانع امنیتی اشاره کردند. باقی مردم هم تایید کردند که کیفهای تقلبی Trezor را خریدهاند.
میتوانم تایید کنم. من چند ماه پیش 2 کیف از آمازون خریدم و آنها برچسب هولوگرافیک غلطی دارند. هرگز آنها را باز نکردهام. pic.twitter.com/Emq8ugxIMo
-بروک (@bitcoinmom)، در 19 نوامبر 2018
بسیاری از کاربران وظیفهشناس در کامنتهای خود خواستار هوشیاری و افزایش ابزارهای امنیتی داشتند اما رهبران عقیده (opinion leaders یا افرادی که نظر آنها تاثیر بالایی دارد) در کنار سازندگان قانونی باقی ماندند و از آنها حمایت کردند. به طور طبیعی، پیشنهادات و نظرات سراسیمه از طرف کاربرانی بود که نکات مختلفی درباره ایمن نگه داشتن کیفهایشان ارائه میکردند. پیشنهادات آنها از نگه داشتن کیفها در زیر تشک با یک شاتگان در کنار آن تا رها کردن همیشگی بازار کریپتو، متغیر بود.
“اگر کلیدهای خصوصی ندارید، سکه هم ندارید!”
جعل دستگاههای اشغالکننده بازار با ارزش تقریبی 95 میلیون دلار فقط در سال 2017، فقط دیر یا زود داشت و برخی از عاشقان کریپتو قبلا هم پیشبینی آن را کردهبودند.
اگرچه نرمافزار جعلی ممکن است در ابتدا برای ذخیرهسازی کریپتو مناسب نباشد، تفاوت قیمت برای کاربران نا آگاه کافی بوده و سبب ضررهای زیادی میشود. طبق مطالعهای که از سوی دانشگاه کمبریج منتشر شد، علیرغم این که امروز اکثریت ارزهای رمزنگاری شده در ذخیرهسازی سرد نگهداری میشوند و 97 درصد صرافیها ترجیح میدهند سرمایههای خود را به این روش نگهداری کنند، جعل دستگاههای ذخیره رمزنگاری ممکن است برای کلاهبرداران جذاب باقی بماند.
کارشناسان و سازندگان توصیه هوشیاری هنگام انتخاب کیفهای سختافزاری و خرید آنها فقط از فروشندگان مطمئن فهرست وبسایت رسمی Trezor را دارند.
سلام راول، تفاوتهای اصلی در هولوگرام و بارکد پشت جعبه است. Trezor اصلی هم میتواند از firmware ما استفاده کند، پس بهترین کار این است که اصلا از آن استفاده نکنید. ایمنترین روش برای خرید Trezor از فروشگاه رسمی یا فروشندگان مرتبط با ما خواهد بود.
-(Trezor (@Trezor، در 20 نوامبر 2018
جدا از هشدارهای مهمی که اینجا و از سوی Trezor داده شد که “اگر کلیدهای خصوصی ندارید، سکه هم ندارید!”، برخی کارشناسان توصیه میکنند 2 کیف سرد داشته باشید و هرگز تمام سرمایههای خود را در یک محل نگه ندارید تا خطر را کاهش دهید.
در عوض شرکتها هم باید تلاش کنند تا تقلید و کپی محصولاتشان از طریق کانالهای حقوقی را متوقف کنند و بتوانند بعد از تجزیه و تحلیل دستگاههای تقلبی، ابزارهای امنیتی بیشتری برای اجتماع به کار گیرند.