آیا همه کیف پول های سخت افزار بیت کوین در معرض خطر هستند؟ کسری امنیتی بحرانی کشف شد
تراشه ESP32 ، که اغلب در کیف پول سخت افزار بیت کوین ارزان تر است ، دارای آسیب پذیری بحرانی است که اخیراً کشف کرده است. ژنراتور شماره تصادفی در تراشه دارای یک مشکل ناکافی آنتروپی است که در زیر CV-2025-27840 ذکر شده است. این نقص به طور جدی ظرفیت تراشه برای تولید سوئیچ های ویژه را مختل می کند ، کاربران را در معرض خطر به روزرسانی های بدافزار یا حملات کلیدی قرار می دهد که ممکن است منجر به عملیات غیرقانونی بیت کوین شود.
تراشه ESP32 ، که توسط سیستم های اسپرسف تأسیس شده است ، میکروکنترلر کم قدرت بسیار محبوب است که بلوتوث و Wi-Fi در آن ساخته شده است. با توجه به دستیابی و تطبیق پذیری ، این یک انتخاب محبوب برای دستگاه های نوری مانند کیف پول Jade Blockstream و ساخت و سازهای سخت افزار ساخت و ساز-یورو-یورو است. قابل قبول بودن و سهولت ادغام تراشه ، آن را به یک انتخاب محبوب برای طرح های منبع باز یا طراحی کیف پول تجربی تبدیل می کند.
با این حال ، بر خلاف تراشه های با دوام و ایمنی تر که در کیف پول های محبوب مانند ESP32 ، Ledger ، Trezor یا Coldcard یافت می شود ، هیچ ماژول ایمنی سخت افزاری (HSM) وجود ندارد. دستگاه هایی مانند Ledger به اجزای ایمن ساخته شده برای تولید آنتروپی بدون نفوذ برای دستکاری فیزیکی و مهندسی معکوس و ذخیره اسرار رمزنگاری با خیال راحت متکی هستند.
با توجه به این تصمیم طراحی ، این کیف پول ها در برابر انواع نقص در ESP32 اخیر آسیب پذیر نیستند. مشکل اصلی در عدم تصادفی با کیفیت بالا تولید شده برای طراحی غیر SAFE از سوئیچ های ویژه ایمن است. اگر مهاجمان بتوانند سوئیچ های ویژه را با ربوده شدن وجوه کاربر در صورت پیش بینی یا ناکافی بودن آنتروپی پیش بینی یا محاسبه کنند.
مربوط به
علاوه بر این ، معماری تراشه ممکن است به احزاب غیرمجاز اجازه دهد تا به روزرسانی های ماژول را فشار دهند ، که ممکن است باعث شود کاربر بدون اجازه عملیات را امضا کند. آسیب پذیری در درجه اول منبع نگرانی برای گزینه های ارزان تر منبع باز است ، اما در حال حاضر بر کاربران کیف پول های ارشد تأثیر نمی گذارد. توصیه می شود توسعه دهندگان از ESP32 برای ایجاد کیف پول شامل منابع آنتروپی خارجی یا تغییر به معماری ایمن تر باشند.
صاحبان ارز رمزنگاری ، که به کیف پول سخت افزاری پشتیبانی شده از ESP32 وابسته هستند ، باید خود را به روز نگه دارند و تا زمانی که به روزرسانی یا طراحی مجدد شوند ، پول خود را به دستگاه های ایمن تر منتقل می کنند.