شرکت امنیت سایبری آنسایفرد (Unciphered) مدعی است موفق شده عبارت بازیابی کیف پول سختافزاری ترزور تی (Trezor T) را با استفاده از نفوذ سختافزاری هک کند.
به گزارش د بلاک، آنسایفرد ویدیو مربوط به این فرآیند را در کانال یوتیوب خود قرار داده است. بر اساس این ویدیو شرکت آنسایفرد با استفاده از یک آسیبپذیری سختافزاری موفق شده است عبارت بازیابی یا کلید خصوصی کیف پول را به دست آورد.
این اولین بار نیست که شرکت آنسایفرد موفق به هک عبارات بازیابی کیف پولهای سختافزاری میشود. این شرکت در ماه فوریه نیز عبارت بازیابی کیف پول OneKey را هک کرده بود.
واریز و برداشت بدون محدودیت در صرافی اتراکس 
کیف پولهای سختافزاری کلیدهای خصوصی را به صورت آفلاین و به دور از اینترنت ذخیره میکنند و به همین دلیل معمولا بسیار امن درنظر گرفته میشوند. با این حال، شرکت آنسایفرد اعلام کرد مکانیزمهای سختافزاری کیف پول ترزور مدل T را میتوان از نظر تئوری دور زد و عبارت بازیابی را به دست آورد. برای این کار تنها لازم است هکر به کیف پول دسترسی داشته باشد.
فرآیندی که شرکت آنسایفرد برای دریافت کلید خصوصی کیف پول انجام داده تنها در صورتی امکانپذیر است که هکر به نسخه فیزیکی کیف پول دسترسی داشته باشد.
در این ویدیو شرکت آنسایفرد از روش مخصوصی برای استخراج سختافزار کیف پول استفاده میکند. به گفته اریک میچاد (Eric Michaud)، یکی از بنیانگذاران آنسایفرد، این شرکت با استفاده از تراشههای تخصصی GPU در نهایت موفق شده تا عبارت بازیابی کیف پول را بشکند و آن را دریافت کند.
میچاد در این ویدیو گفت:
سختافزاری که استخراج کردیم را در کلاسترهای کرک با کارایی بالا وارد کردیم. این سیستمها حدود ۱۰ تراشه GPU دارند و بعد از مدتی کلید خصوصی را به دست آوردیم.
به گفته بنیانگذار شرکت آنسایفرد، شرکت ترزور برای رفع این آسیبپذیری باید تمامی کیف پولهای Trezor T را از کاربران بگیرد و پس از برطرف ساختن این مشکل به آنها تحویل دهد.
واکنش ترزور چه بود؟
شرکت ترزرو در واکنش به ویدیوی شرکت آنسایفرد مدعی شد این آسیبپذیری، با آسیبپذیری Read Protection Downgrade که توسط شرکت کراکن کشف شده و مدلهای One و T ترزرو را تحت تاثیر قرار داده است شباهت دارد. این یعنی آسیبپذیری که آنسایفرد کشف کرده چیز جدیدی نیست.
توماش سوشانکا (Tomáš Sušánka)، مدیر ارشد فناوری شرکت ترزور در این رابطه گفت:
این یک آسیبپذیری RDP است و همانطور که در اوایل سال ۲۰۲۰ در وبلاگ خود گفتیم، RDP به سرقت فیزیکی کیف پول و دانش فنی بالا و تجهیزات بسیار پیشرفته نیاز دارد. حتی با وجود این مورد، میتوان با یک عبارت بازیابی قوی لایه امنیتی دیگری اضافه و از کیف پول در برابر این حملات محافظت کرد.
ترزور خاطرنشان کرد با همکاری شرکت Tropic Square، یک سکیور المنت (secure element) جدید برای حل این مشکل طراحی کرده است.
منبع
Thanks for this great post, very impressive and informative text. Do you want to view private Instagram profiles without human verification? If yes, then you can use IMGlookup. IMGlookup is safe. This tool is currently one of the best Instagram private profile viewer tools without human verification. With complete anonymity, visit the article for more information.