<?php wp_title('|', true, 'right'); ?>

Ledger ประกาศพบช่องโหว่ด้านความปลอดภัยใน Hardware Wallet แต่ “ไม่มีความร้ายแรง”

ติดตามสยามบล็อกเชนบนSiam Blockchain

บริษัท Ledger ผู้ผลิตอุปกรณ์เก็บเหรียญคริปโตเคอเรนซี่แบบ hardware ชื่อดังได้ออกมาประกาศว่าจุดอ่อนด้านความปลอดภัยที่ถูกตรวจพบใน Hardware Wallet ของทางบริษัทไม่ได้มีความร้ายแรงอะไรผ่าน Medium เมื่อวันที่ 28 ธันวาคมที่ผ่านมา

โดยเมื่อวานนี้ในที่ประชุม  35C3 Refreshing Memories ในกรุงเบอร์ลิน นักวิจัยออกมาเผยว่าพวกเขาสามารถแฮ็กคริปโตเคอร์เรนซีวอลเล็ทของ Trezor One, Ledger Nano S และ Ledger Blue ได้

ในประกาศดังกล่าวทางบริษัทออกมาอธิบายว่ามันมีการโจมตี 3 ทางเข้ามาใน Hardware Wallet ซึ่งอาจทำให้เข้าใจได้ว่าเป็นจุดอ่อนที่สำคัญ แต่จริง ๆ แล้วมันไม่ใช่

เหตุผลที่ทาง Ledger ออกมาประกาศว่าจุดอ่อนดังกล่าวมันไม่ได้สำคัญหรือมีความร้ายแรงอะไรเพราะว่านักแฮ็คไม่ประสบความสำเร็จ กล่าวคือไม่สามารถแฮ็คอะไรไปได้เลยแม้แต่ PIN บนมือถือที่ถูกขโมยไปและเหรียญดิจิทัลก็ถูกเก็บไว้ใน Secure Element ก็ยังคงอยู่ครบ

จากประกาศของบริษัทเผยว่าจุดอ่อนของ Ledger Nano S แสดงให้เห็นว่าการแก้ไขเปลี่ยนแปลงใด ๆ บน Ledger Nano S และติดตั้ง Malware บนเครื่องคอมของผู้ที่ตกเป็นเหยื่อจะทำให้นักแฮ็คสามารถที่จะยืนยันการทำธุรกรรมได้หลังจากที่ใส่ PIN และแอปพลิชั่นของ Bitcoin ได้เปิดใช้งานแล้ว

ซึ่งทาง Ledger กล่าวว่ามันค่อนข้างจะเป็นไปได้ยากในทางปฏิบัติและนักแฮ็คจะต้องมีความสามารถมากพอ ในขณะที่นักวิจัยได้กล่าวในที่ประชุมว่าจุดอ่อนดังกล่าวทำให้พวกเขาสามารถส่งธุรกรรมที่เป็นอันตรายเข้าไปใน ST31 (secure chip) และยังยืนยันธุรกรรมนั้นได้เองด้วยแต่ทาง Ledger ก็ออกมาปฏิเสธและกล่าวว่า:

“เฟิร์มแวร์ของพวกเขารันอยู่บน MCU Bootloader โหมด นั่นหมายถึงคุณจะต้องกดปุ่ม Boot ทางซ้ายมือ แต่ Secure Element ไม่ได้มีการ Boot เลยด้วยซ้ำ”

ทาง Ledger ยังกล่าวต่อไปอีกว่าการโจมตี Ledger Blue มันค่อนข้างที่จะเป็นไปไม่ได้ในทางปฏิบัติ เพราะตำแหน่งของผู้รับและเครื่องที่ถูกโจมตีจะต้องตรงกันเป๊ะ ๆ ตำแหน่งของ USB ก็เป็นสิ่งสำคัญเพราะมันทำหน้าที่เป็นสายอากาศ

“ถ้าหากตำแหน่งมันไม่ตรงกัน ตัว machine learning classifier จะไม่สามารถทำงานได้อย่างลื่นไหล การโจมตีดังกล่าวก็น่าสนใจแต่มันไม่สามารถคาดเดา PIN ของผู้ใช้งานในทางปฏิบัติจริง ๆ ได้ เพราะว่าคุณจะต้องไม่ทำการเคลื่อนย้ายอุปกรณ์ของคุณเลย” ทาง Ledger กล่าว

อย่างไรก็ตามเมื่อพบจุดอ่อนดังกล่าวทาง Ledger เลยกล่าวว่าการอัพเดทครั้งต่อไปของ Ledger Blue จะพัฒนา randomized keyboard สำหรับ PIN ขึ้น

อย่างไรก็ตามทาง Ledger ยังกล่าวต่อไปอีกว่าคณะวิจัยไม่ได้ทำตามมาตรฐานความปลอดภัยที่ประกาศอยู่บน  Ledger’s Bounty Program ในเรื่องของความปลอดภัย ทางปฏิบัติที่ทำกันคือจะต้องเปิดเผยจุดบกพร่องอย่างมีความรับผิดชอบ กล่าวคือจะกระทำการเปิดเผยจุดบกพร่องได้ต่อเมื่อผ่านระยะเวลาอันเหมาะสมเพื่อให้มีการแก้ไขจุดบกพร่องนั้น ๆ อย่างเพียงพอก่อนแล้วรวมถึงได้ทำการลดความเสี่ยงของผู้ใช้งานแล้ว

ในเดือนพฤศจิกายนที่ผ่านมา ทาง Ledger ได้ออกมาประกาศว่าจะขยายฐานไปที่นิวยอร์คเพื่อพัฒนา Ledger Vault นอกจากนี้ทางบริษัทได้เข้าร่วมมือกับบริษัทสตาร์ทอัพด้านการชำระเงินคริปโต Crypto.com เพื่อให้ผู้ใช้งานสามารถชำระเงินให้กับ Ledger ด้วยเงินคริปโตได้

ที่มา cointelegraph

กดคลิกเพื่อแสดงความเห็น