جعل کیف‌‌ پول‌های Trezor One تکنیک‌‌های جدید سرقت رمز ارزها را آشکار می‌‌کند

در ۱۹ نوامبر، شرکت به کاربرانی که از کپی تقریبا مشابه Trezor One استفاده می‌‌کردند، یک هشدار رسمی داد:

(PSA) در هفته‌‌های اخیر ما دستگاه‌‌های غیراصلی Trezor One را که سعی در تقلید موارد اصلی داشته‌‌اند، پیدا کرده‌‌ایم.

برای اطلاعات بیشتر درباره شناسایی دستگاه Trezor One، لطفا جدیدترین پست وبلاگ ما را از این آدرس مطالعه کنید: https://t.co/tpe21iTVXm

-(Trezor‌‌ (@Trezor در ۱۹ نوامبر ۲۰۱۸

“تقلید، صادقانه‌‌ترین شکل تملق است”

اعلامیه‌‌ای که در وبسایت Trezor‌‌ منتشر شده، با این ضرب‌‌المثل آغاز می‌‌شود. اگرچه مقامات رسمی شرکت متوجه شدند که “کپی‌‌های Trezor‌‌ سال‌‌های زیادی است که منتشر شده”، یک “دستگاه جعلی Trezor‌‌ که توسط سازنده نامشخص و متفاوتی تولید شده”، آغاز کشف‌‌های آن‌‌ها بوده‌‌است.

ساتوشی‌‌لبز (SatoshiLabs) که یک تیم توسعه است، تلاش‌‌های قابل توجهی برای تضمین تقلبی نبودن دستگاه‌‌ها به هر شکل انجام داده و به تفاوت‌‌های مهمی در زمینه محتوا و عملکرد رسیده‌‌است. همانطور که در راهنمای “چگونه تشخیص دهیم” همان پست وبلاگ، توضیح داده شده، دستگاه واقعی Trezor One اسم متفاوتی داشته و از سوی شرکت‌‌های قانونی تولید می‌‌شود، در حالیکه دستگاه‌‌های کپی فقط ظاهر خارجی دستگاه را تکرار می‌‌کنند تا خریداران بالقوه را گول بزنند.

ساتوشی‌‌لبز (SatoshiLabs) هم عنوان کرده که دستگاه‌‌های تقلبی را می‌‌توان فورا از بسته‌‌بندی آن‌‌ها شناخت و این مسئله با دستگاه قانونی و طراحی هولوگرافی مخصوص آن و البته نبود عنوان “ساخت چین”، مشخص می‌‌شود و تفاوت دارد. اگرچه که شاید تقلید صادقانه‌‌ترین شکل تملق باشد، احتمال دارد شباهت‌‌های جزیی بین ظاهر دستگاه‌‌های تقلبی با اصلی به چشم بخورد و این مسئله نتواند نرم‌‌افزار را گسترش دهد. ممکن است دستگاه‌‌های تقلبی دچار اختلال یا پر از بدافزار باشند.

مشتریانی که از آمازون یا ebay برای خرید دستگاه‌‌های الکترونی استفاده می‌‌کنند، ممکن است با پیشنهاد خرید “فقط یک بار” یا “باز شده اما هرگز استفاده نشده” کیف‌‌های Trezor One مواجه شده باشند. قیمت چنین آیتمی ممکن است از ۳۹ دلار تا ۴۹ دلار متغیر باشد.

کلاهبرداری‌‌های سخت‌‌افزاری کریپتوکارنسی

Trezor‌‌ قبلا هم با شرایط مشابهی مواجه شده‌‌است، هرچند پیش از این کپی پر سر و صدای محصول را به چشم ندیده بود. شرکت همیشه تاکید کرده که نرم‌‌افزارش “ایمن‌‌ترین” بوده و نسبت به حملات هک آسیب‌‌پذیر نیست.

هنگامی که در اواسط آگوست ۲۰۱۷، گروهی از هکرها موفق شدند کیف‌‌های Trezor‌‌ را با روش‌‌های ساده‌‌ای کرک کرده (شکسته) و دزدی و تقلب‌‌هایی در کلیدهای خصوصی این دستگاه‌‌ها را ایجاد کنند، این ادعاها مورد سوال قرار گرفت. بعد از بررسی‌‌های حادثه، Trezor‌‌ عنوان کرد که ریشه هک کلیدهای خصوصی کیف‌‌ها در یک فلش مموری ذخیره شده و سپس هنگام استفاده آن در رم دستگاه‌‌های مختلفی دوباره قرار گرفته ‌است. بعدا مشخص شد که فقط کیف‌‌های Trezor‌‌ تحت تاثیر آسیب‌‌پذیری قرار گرفته‌‌اند. در پاسخ به این اتفاق، Trezor‌‌ در ۱۶ آگوست، نسخه به‌‌روز رسانی امنیتی firmware (نرم‌‌افزار دائمی) ۱.۵.۲ را منتشر کرد و بعدا اعلام کرد که کاربران ایمن بوده‌‌اند و هیچ جای نگرانی برای آن‌‌ها وجود نداشته است.

حملات به Trezor‌‌ محدود نمی‌‌شد، زیرا که باقی دستگاه‌‌ها هم تحت تاثیر باگ‌‌ها و بد اکتورها (bad actors) قرار گرفته بودند. گزارشی که در اوایل ژانویه ۲۰۱۸ توسط SpectreAttack منتشر شد از ۲ باگ با عناوین Meltdown و Spectre خبر داد که قرار بود از آسیب‌‌پذیری‌‌های امنیتی اینتل، AMD و ARM تمام دستگاه‌‌های نصب‌‌شده را سوءاستفاده کنند. فهرست دستگاه‌‌ها شامل کامپیوترهای خانگی، لپ‌‌تاپ‌‌ها، تبلت‌‌ها و گوشی‌‌های هوشمند می‌‌شد.

باگ Meltdown چیپ‌‌های اینتلی را تحت تاثیر قرار می‌‌داد که تقریبا در ۹۰ درصد کامپیوترهای سطح جهان را شامل می‌‌شد. باگ Spectre هم روی چیپ‌‌های اینتل، ARM و AMD تمام دستگاه‌‌ها تاثیر می‌‌گذاشت و گفته می‌‌شد هر دو نوع بدافزارها می‌‌توانند در محیط‌‌های ذخیره ابری هم فعالیت کنند.

Ledger Nano S یک کیف سخت‌‌افزاری محبوب دیگر هم از نظر امنیتی دچار ضعف بوده‌‌است. در ۵ فوریه ۲۰۱۷، مشخص شد کاربران هنگام اتصال Ledger Nano S به دستگاه هک‌‌شده، نسبت به حملات و استفاده از آن برای انتقال مبالغ بین حساب‌‌ها به صورت عادی و همیشگی، آسیب‌‌پذیر هستند. این کلاهبردار به سادگی می‌‌توانست آدرس حساب‌‌ها را کپی کند و به مبالغ ذخیره‌‌شده در آن دسترسی داشته باشد.

در ژانویه ۲۰۱۷، به شرکت‌‌کنندگان مختلف کنفرانس‌‌های مرتبط با بلاک چین و بیت کوین، کیف‌‌های سخت‌‌افزاری بیت کوین تقلبی داده شد و این کیف‌‌ها محصولات قانونی Trezor‌‌ و لجر را تکرار و تقلید می‌‌کرد. چنین کلک‌‌هایی به منظور سرقت سرمایه‌‌هایی احتمالی و بعدی این دستگاه‌‌ها بود.

کمی پیشتر در دسامبر ۲۰۱۶، یک هکر موفق شد هویت یک کاربر را جعل کرده و شماره تلفن او را از T-Mobile به یک حامل با عنوان پهنای‌‌باند (Bandwidth) که به حساب Google Voice هکر متصل بود، منتقل کند. سپس هکر تمام رمزهای عبور قربانی را ریست (بازنشانی) کرد و ده‌‌ها بیت کوین را به سرقت برد. البته میزان دقیق بیت کوین‌‌ها هرگز فاش نشد.

آسیب‌‌پذیری‌‌های زیادی برای استفاده هکرها وجود دارد و آن‌‌ها می‌‌توانند با این موارد، ارزهای رمزنگاری شده سخت‌‌به‌‌دست‌‌آمده را بدزدند. به طور قابل توجه، شرکت‌‌های نرم‌‌افزاری از تعداد زیادی از حقه‌‌های هکرها مطلع نیستند و این حقه‌‌ها روز به روز شیطانی‌‌تر شده و نقشه‌‌های خطرناک‌‌تری برای دزدی کریپتو از قربانیان بی‌‌اطلاع آن می‌‌کشد.

شش آسیب‌‌پذیری کیف‌‌های سخت‌‌افزاری

دکتر کارل کِرِدِر (هم‌‌بنیانگذار کیف مولد Grid+) در وبلاگ خود بر اساس تجربیات و مشاهدات شخصی‌‌اش، شش آسیب‌‌پذیری را نام می‌‌برد. این شش مورد پتانسیل آن را دارند که کیف‌‌های سخت‌‌افزاری را دچار هک یا موارد مشابه کنند.

حمله مرد میانی (MIM)

همانطور که در مشاهدات کِرِدِر هم وجود داشت، حملات مرد میانی می‌‌تواند برخی از دستگاه‌‌های ذخیره‌‌سازی سرد که صفحه نمایش آن‌‌ها هنگام ارسال پول، آدرس گیرنده هشت رقمی داشتند را تحت تاثیر قرار دهد. طبق محاسباتی که کردر در آگوست ۲۰۱۷ انجام داد، هک کردن چنین دستگاه‌‌هایی با استفاده از تولیدکننده‌‌های آدرس مثل vante.me، نیازمند هزینه اقتصادی نسبتا پایینی است (حدود ۸۰۰ دلار).

بروزرسانی firmware دستگاه USB

کیف‌‌هایی مثل لجر و Trezor‌‌ می‌‌توانند هنگام به‌‌روزشدن از طریق یک پورت USB، آسیب‌‌پذیر باشند. این گزینه معمولا توسط یک تولید‌‌کننده با کمک به‌‌روزرسانی firmware دستگاه DFU) USB) ممکن می‌‌شود. همانطور که گزارش شد، بازار تا به حال تلاش‌‌های موفقی برای استفاده از DFU به منظور حذف حافظه خانواده STM32F ریزکنترل‌‌کننده‌‌ها داشته‌‌است.

این مسئله می‌‌تواند سبب عواقب منفی برای صاحبان دستگاه‌‌های ذخیره‌‌سازی سرد شود و این عواقب شامل دزدی از کلیدهای اختصاصی و ایجاد عامل خرابکار re-flashing کیف با کدهای خراب حین یک به‌‌روزرسانی می‌‌شود.

شکستن (کرک‌‌کردن) PINها

به عنوان یک قانون اگر دستگاه سخت‌‌افزاری از بین رفت یا در دست افراد خرابکار افتاد، تولید‌‌کنندگانی مثل Trezor‌‌ و لجر، در صورتی که پین غلط سه بار وارد شود، کیف را ریست می‌‌کنند. این موضوع نمی‌‌گذارد خرابکار کنترل کیف را به دست بگیرد و یا حملات خطرناک مرتبط با پین رخ دهد.

طی کنفرانس دفکان (Defcon)، توسعه‌‌دهندگان Cryptotronix نشان دادند که Trezor‌‌ STM32F205 ممکن است هنگام استفاده از Vcc و حملات نقص ساعت، دچار نقص شود. در نتیجه، دستگاه آسیب‌‌پذیر شده و کلیدهای خصوصی را می‌‌توان با استفاده از یک شخص واسطه بدون نیاز به دانستن پین، به دست آورد.

زنجیره تامین

این همان آسیب‌‌پذیری پیش‌‌روی صاحبان Trezor One که کپی‌‌های تقلبی خریدند، می‌‌باشد. در اصل دستگاه سخت‌‌افزاری Trezor‌‌ با استیکرهای هولوگرافی دارای برند و چسب مخصوصی که بسته‌‌بندی را نگه می‌‌دارد، محافظت می‌‌شود. این موضوع می‌‌بایست کیف را در مقابل خرابکاری‌‌های پس از ارسال تولیدکننده به مشتری، محافظت کند. هرچند اگر دستگاه به دست یک متقلب بیافتد، او می‌‌تواند نسخه مخربی از نرم‌‌افزار نصب کرده یا کلید را دوباره وارد کند. وقتی که چنین اتفاقی افتاد، بدنه دستگاه با برچسب هولوگرافیک و چسب مشابه، مهر و موم می‌‌شود.

عبارت بازیابی

نویسنده یک عبارت بازیابی در نظر می‌‌گیرد تا “آسیب‌‌پذیرترین قطعه پازل امنیتی” باشد، زیرا این کلمه ۱۲ تا ۲۴ حرفی معمولا شامل متن‌‌های خام شده و اغلب در یکی از کشوهای لباس نگهداری می‌‌شود.

نظارت

همانطور که ادوارد اسنودن هشدار داد، پین‌‌ها و رمزهای عبور را می‌‌توان با یک جاسوسی شیادانه از طریق یک کامپیوتر یا گوشی هوشمند یا وبکم معمولی به دست آورد. دارندگان ارزهای رمزنگاری شده هم از این قاعده مستثنی نیستند.

واکنش اجتماع

اجتماع به اخبار دستگاه‌‌های تقلبی Trezor One، با ترکیبی از خشم، نا امیدی و کمی هم‌‌دردی، واکنش نشان دادند. برخی از افراد به ابزارهای امنیتی ضعیف Trezor‌‌ در تکیه به برچسب هولوگرافیک به عنوان یک مانع امنیتی اشاره کردند. باقی مردم هم تایید کردند که کیف‌‌های تقلبی Trezor‌‌ را خریده‌‌اند.

می‌‌توانم تایید کنم. من چند ماه پیش ۲ کیف از آمازون خریدم و آن‌‌ها برچسب هولوگرافیک غلطی دارند. هرگز آن‌‌ها را باز نکرده‌‌ام. pic.twitter.com/Emq8ugxIMo

-بروک (@bitcoinmom)، در ۱۹ نوامبر ۲۰۱۸

بسیاری از کاربران وظیفه‌‌شناس در کامنت‌‌های خود خواستار هوشیاری و افزایش ابزارهای امنیتی داشتند اما رهبران عقیده (opinion leaders یا افرادی که نظر آن‌‌ها تاثیر بالایی دارد) در کنار سازندگان قانونی باقی ماندند و از آن‌‌ها حمایت کردند. به طور طبیعی، پیشنهادات و نظرات سراسیمه از طرف کاربرانی بود که نکات مختلفی درباره ایمن نگه داشتن کیف‌‌هایشان ارائه می‌‌کردند. پیشنهادات آن‌‌ها از نگه داشتن کیف‌‌ها در زیر تشک با یک شاتگان در کنار آن تا رها کردن همیشگی بازار کریپتو، متغیر بود.

“اگر کلیدهای خصوصی ندارید، سکه هم ندارید!”

جعل دستگاه‌‌های اشغال‌‌کننده بازار با ارزش تقریبی ۹۵ میلیون دلار فقط در سال ۲۰۱۷، فقط دیر یا زود داشت و برخی از عاشقان کریپتو قبلا هم پیش‌‌بینی آن را کرده‌‌بودند.

اگرچه نرم‌‌افزار جعلی ممکن است در ابتدا برای ذخیره‌‌سازی کریپتو مناسب نباشد، تفاوت قیمت برای کاربران نا آگاه کافی بوده و سبب ضررهای زیادی می‌‌شود. طبق مطالعه‌‌ای که از سوی دانشگاه کمبریج منتشر شد، علی‌‌رغم این که امروز اکثریت ارزهای رمزنگاری شده در ذخیره‌‌سازی سرد نگهداری می‌‌شوند و ۹۷ درصد صرافی‌‌ها ترجیح می‌‌دهند سرمایه‌‌های خود را به این روش نگهداری کنند، جعل دستگاه‌‌های ذخیره رمزنگاری ممکن است برای کلاهبرداران جذاب باقی بماند.

کارشناسان و سازندگان توصیه هوشیاری هنگام انتخاب کیف‌‌های سخت‌‌افزاری و خرید آن‌‌ها فقط از فروشندگان مطمئن فهرست وبسایت رسمی Trezor‌‌ را دارند.

سلام راول، تفاوت‌‌های اصلی در هولوگرام و بارکد پشت جعبه است. Trezor‌‌ اصلی هم می‌‌تواند از firmware ما استفاده کند، پس بهترین کار این است که اصلا از آن استفاده نکنید. ایمن‌‌ترین روش برای خرید Trezor‌‌ از فروشگاه رسمی یا فروشندگان مرتبط با ما خواهد بود.

-(Trezor‌‌ (@Trezor، در ۲۰ نوامبر ۲۰۱۸

جدا از هشدارهای مهمی که اینجا و از سوی Trezor‌‌ داده شد که “اگر کلیدهای خصوصی ندارید، سکه هم ندارید!”، برخی کارشناسان توصیه می‌‌کنند ۲ کیف سرد داشته باشید و هرگز تمام سرمایه‌‌های خود را در یک محل نگه ندارید تا خطر را کاهش دهید.

در عوض شرکت‌‌ها هم باید تلاش کنند تا تقلید و کپی محصولاتشان از طریق کانال‌‌های حقوقی را متوقف کنند و بتوانند بعد از تجزیه و تحلیل دستگاه‌‌های تقلبی، ابزارهای امنیتی بیشتری برای اجتماع به کار گیرند.