มีรายงานว่าเด็กชาย Saleem Rashid หนูน้อยอายุ 15 ปีค้นพบช่องโหว่บนกระเป๋า Ledger Nano S โดยจุดเริ่มต้นนั้นมีมาจากเมื่อเดือนพฤศจิกายนปี 2017 เมื่อ Rashid รายงานช่องโหว่นี้ให้กับ CTO ของ Ledger นาม Nicolas Bacca โดยช่องโหว่ที่ว่านี้ร้ายแรงถึงขั้นทำให้ผู้โจมตีสามารถขโมยเงินจากกระเป๋าของผู้ใช้งานได้
Rashid ได้ทำการสำรวจว่าตัว microcontroller ที่ถูกติดตั้งในกระเป๋านั้นไม่ปลอดภัย โดยในขณะที่มันสามารถถูกใช้เป็นปุ่มเพื่อแสดงและใส่ข้อมูลได้ แต่มันก็ถูกเชื่อมต่อเป็น proxy ไปหา Secure Element (SE) ที่ใช้เก็บตัว private key สำหรับปลดล็อคกระเป๋าเหรียญคริปโต ซึ่งนั่นหมายความว่านักแฮคสามารถที่จะหลอกตัว SE ในหลาย ๆ รูปแบบได้ ยกตัวอย่างเช่น พ่อค้าคนกลางหรือตัวแทนจำหน่ายที่นำกระเป๋าดังกล่าวเข้ามาขายนั้นอาจจะเปลี่ยนตัว firmware ของ microcontroller ที่สามารถตรวจสอบตัวตนของ SE ได้ เขายังอธิบายว่านักแฮคยังสามารถที่จะควบคุมตัว interface ของผู้ใช้งานและใช้โค้ดของนักแฮคที่สามารถเปลี่ยน seed recovery ได้ตามที่พวกเขาต้องการอีกด้วย โดย Rashid ได้สาธิตให้เห็นในวีดีโอด้านล่างนี้ถึงการเอา private key ออกมาได้
ภายหลังที่ Rashid ส่งรายงานเกี่ยวกับช่องโหว่ดังกล่าวไปให้ทีมของ Ledger พวกเขากลับไม่ให้ความสำคัญและความสนใจกับ Rashid เท่าที่ควร เนื่องจากพวกเขามองว่า Rashid ยังเป็นเด็กอยู่และไม่มีความน่าเชื่อถือ และยังได้ออกเฟิร์มแวร์เวอร์ชันวันที่ 6 มีนาคมที่ทำให้ Rashid ต้องออกมาวิพากษ์วิจารณ์อย่างแรง โดยเขาโพสความเห็นของเขาบน Twitter และเผยว่าทางทีมนักพัฒนาควรที่จะออกตัวอัพเดตฉุกเฉินออกมาแก้ไข หรือพยายามปกปิดทริคดังกล่าวนี้ เพื่อที่นักแฮคจะได้ไม่รู้
ภายหลังผู้ใช้งานส่วนใหญ่ก็เกิดอาการตื่นตกใจ จนทำให้พวกเขาต้องออกไปโพสบน Reddit เพื่อหารือว่าจะทำอย่างไรต่อไป นาย Eric Larchevêque หรือ CEO ของ Ledger ได้ออกมาตอบกลับโดยยังอ้างว่าสิ่งที่ Rashid ทำนั้นคือการตีแผ่ความตื่นกลัวโดยใช่เหตุ (FUD) และต้องการที่จะเรียกร้องความสนใจ และอ้างว่าปัญหาดังกล่าวนั้นไม่ใช่เรื่องร้ายแรงอะไร (ทั้ง ๆ ที่นักแฮคสามารถขโมย private key จากผู้ใช้งานได้ก็ตาม) “เจ้าเด็ก Saleem พอเราไม่บอกเขาว่านี่เป็นตัวอัพเดตที่ฉุกเฉิน เขาก็หัวเสียเลย” เขียนโดยนาย Larchevêque
ก่อนหน้านี้เมื่อวันที่ 20 มีนาคมที่ผ่านมา ทาง Ledger ได้เผยแพร่ตัวอัพเดตที่แก้ไขจุดบกพร่องที่ค้นพบโดยนักวิจัยนาม Timothée Isnard, Saleem Rashid and Sergei Volokitin ข้อบกพร่องดังกล่าวถูกส่งให้ทาง Ledger ผ่านกิจกรรม “ล่าบั๊ค” ที่ทาง Ledger สัญญาว่าจะให้รางวัลแก่ผู้ที่สมัครเข้ากิจกรรมดังกล่าว แต่จุดที่น่าสนใจคือหนูน้อย Rashid ปฏิเสธคำกล่าวของนาย Larchevêque เกี่ยวกับเรื่องดังกล่าว เพราะการเซ็นสัญญา Bounty Program Agreement ของ Ledger จะทำให้เขาไม่สามารถเผยแพร่รายงานด้านเทคนิคได้
กดคลิกเพื่อแสดงความเห็น