وجود یک باگ در کیف پول سخت‌افزاری لجر ، موجب برداشت بیت کوین به جای آلتکوین می شود!

access_time۱۳۹۹/۰۵/۱۵
perm_identity ارسال شده توسط
folder_open اخبار ، اخبار ارز دیجیتال ، اخبار بیت کوین ، مطالب ویژه
Ledger exploit - وجود یک باگ در کیف پول سخت‌افزاری لجر ، موجب برداشت بیت کوین به جای آلتکوین می شود!

 طبق گزارش منتشر شده توسط محمد نخبه درروز سه شنبه وجود یک باگ در کیف پول سخت‌افزاری لجر به عوامل مخرب امکان میدهد تا به سرقت بیت کوین بپردازند.این حمله با ایجاد تراکنشی مشابه با پرداخت آلتکوین ، باعث برداشت بیت کوین از کیف پول می شود.

محمد نخبه توسعه دهنده Liquality در گزارش خود نوشت:

حمله‌کننده می‌تواند از این روش استفاده کند تا بیت کوین انتقال دهد، در حالی که کاربر فکر می‌کند تراکنش آلتکوین کم ارزشتر دیگری را انجام می‌دهد.

این نکته‌ای نگران کننده است زیرا کاربر فکر می‌کند که ۰.۰۱ آلتکوین جابه جا می کندکه بسیار کم ارزشتر از انتقال ۰.۰۱ بیت کوین است.

سخنگوی لجر در این زمینه گفت:

نسخه جدید برنامه بیت کوین فردا عرضه خواهد شد. در این نسخه، یک به‌روزرسانی قرار دارد که یک هشدار نشان خواهد داد و هنگامی که مسیر غیرمنتظره‌ای استفاده شود از کاربر تایید انتقال را درخواست می‌کند و بدین ترتیب این مشکل حل می‌شود.

وی افزود:

این محقق از راه های مختلف و بیشتر از طریق پیام‌های توییتر با ما تماس گرفت. آدرس ایمیل [email protected] که برای کشف باگ و دریافت جایزه است هم‌چنان روش ارتباطی با ما است. بدین ترتیب از سختی پیش آمده در خصوص ایجاد ارتباط عذر‌خواهی می‌کنیم. قابل ذکر است که ما هرگز از کشف این محقق امنیتی برای بهبود محصولات خود چشم‌پوشی نخواهیم کرد.

این باگ چگونه کار می‌کند؟

نخبه توضیح داد که اگرچه کیف پول سخت‌افزاری لجر از چندین ارز دیجیتال از طریق برنامه‌های تخصصی پشتیبانی می‌شوند و در هر لحظه فقط یکی از این برنامه‌ها قابل اجرا است. اما مشخص شده است که برنامه‌های خارجی می‌توانند به اطلاعات حتی از ارزهای دیجیتال مسدودشده دسترسی یابند.

وی گفت:

مشخص شده است که این دستگاه برای بیت کوین و فورک‌های بیت کوین، توابع (sic) خود را در معرض دسترس قرار می‌دهد. به عبارت دیگر، با باز کردن برنامه لایت کوین یک درخواست تایید برای انتقال بیت کوین دریافت خواهید کرد، در حالی که رابط کاربری انتقال لایت کوین را نشان می‌دهد.

نخبه در ادامه افزود:

پذیرش این درخواست تایید، یک تراکنش بیت کوین امضاشده و کاملا معتبر تولید می‌کند.

این موضوع بدان معنا است که دستگاه‌های لجر درخواست‌های مرتبط با بیت کوین دریافت خواهند کرد، حتی اگر در آن لحظه از بیت کوین استفاده نشده باشد. نکته بدتر این است که این تراکنش را به عنوان تراکنش آلتکوین مورد نظر نشان خواهد داد. نخبه افزود پیامد این موضوع بسیار مهم و جدی است.

این گزارش مدعی است که لجر از ماه ژانویه ۲۰۱۹ از این آسیب‌پذیری خبر داشته اما آن را اصلاح نکرده است.

دو راهی به وجود آمده از نگاه لجر

لجر در خصوص این گزارش تایید کرد اگرچه کیف پول‌های لجر تضمین می‌کند که برنامه‌های ارزهای دیجیتال نمی‌توانند از کلیدهای یکدیگر استفاده کنند، اما قطعا این موضوع برای برنامه بیت کوین و فورک‌های آن اعمال نشده و باعث شده است که مشتقات بیت کوین (نظیر لایت کوین) کلیدهای عمومی بیت کوین را دریافت کند یا تراکنش‌های بیت کوین را امضا کند تا از مسائل بالقوه جلوگیری شود.

دلیل این موضوع آن است که بسیاری از ارزهای دیجیتال از بلاک چین بیت کوین تکامل یافته‌اند و سابقه یکسان و مشابهی با بیت کوین دارند.

لجر در ادامه افزود:

بعضی از فورک‌های بیت کوین از مسیر یکسانی با بیت کوین استفاده می‌کنند. اگر از استفاده فورک‌ها از مسیر بیت کوین جلوگیری کنیم، در واقع از استفاده کاربران لجر نانو اکس و اس از این فورک‌ها جلوگیری خواهیم کرد. طبق آخرین خبرنامه امنیتی لجر، توسعه‌دهندگان باید بین امنیت و کاربرد یکی را انتخاب کنند.

منبع:decrypt.co

برچسب ها:
اشتراک گذاری:
مطالب زیر را حتما بخوانید

دیدگاهتان را بنویسید

هفده − شش =