گروهی به نام والت فِیل (wallet.fail) همایشی را در سی و پنجمین کنگره ی ارتباطات کائوس در مورد چگونگی هک کیف پول های سخت افزاری ارائه دادند. در حالی که تمام روش های هک نیازمند دسترسی فیزیکی بودند، این گروه نشان داد با استفاده از رام (RAM) کیف پول ترزور می توان به پین کد دست یافت. بنابراین آیا راهی برای محافظت واقعی و صحیح بیت کوین وجود دارد؟
خطوط حمله
این گروه با استفاده از چهار متد توانست کیف پول های سخت افزاری را مورد هک قرار دهد؛ این متدها عبارتند از: حمله از طریق زنجیره تامین، آسیب به سخت افزار، حمله از طریق زنجیره جانبی و آسیب به تراشه. در همه ی این تکنیک ها نیاز است که به دستگاه دسترسی داشته باشند. با همه ی احوال اگر کیف پول شما هرگز به دست شخصی نیفتاده، حداقل این است که در معرض حمله زنجیره جانبی قرار دارید.
از آنجائی که برچسب های امنیتی هولوگرامی به راحتی قابل کنده شدن و کپی برداری هستند، مسلما امنیت خاصی را فراهم نمی کنند.
هنوز امن نیست
کیف پول لجر بلو هنگام وارد کردن پین کد، یک سیگنال خفیف RF تولید می کند. با اتصال کابل یو اس بی، شما یک آنتن خواهید داشت تا قادر به انتقال در محیط اتاق باشید. شما از این پس در برابر حمله آچار 5 دلاری (حمله ای که می تواند با استفاده از زور و تصاحب کردن کیف پول شما انجام گیرد، را گویند) آسیب پذیر خواهید بود.
حتی خبرهای بدتری برای کاربران کیف پول سخت افزاری ترزور نیز وجود دارد. مهاجمی که دستگاه (به عنوان مثال به زور و از طریق حمله با آچار 5 دلاری) به دست او افتاده، قادر است پین کد شما را از طریق خراش بر روی رام (RAM) بدست آورد.
حفاظت از عبارت عبور ترزور
(سلب مسئولیت: ترزور تنها برای کاربران حرفه ای استفاده از عبارت عبور را توصیه می کند. اگر عبارت عبور خود را فراموش کنید، سرمایه شما برای همیشه از دست خواهد رفت.)
هر عبارت عبور، یک کیف پول جدید و منحصربفرد را ایجاد می کند، که به عنوان یک عبارت سیدِ 25 حرفی عمل می کند. این عبارت می تواند دنباله ای با بیش از 50 کاراکتر ASCII باشد بدان معنی که هم اعداد و هم حروف می توانند مورد استفاده قرار گیرند.
پس از هر فرآیند بازیابی، باید عبارت عبور را به صورت دستی در رابط تنظیمات پیشرفته مرورگر کیف پول تروزر، فعال کنید. برای دسترسی به کیف پول اصلی (بدون حفاظت عبارت عبور)، فضای عبارت رمزی را خالی بگذارید.
حتی با داشتن یک کیف پول جعلی با وجوه ناچیز، شما می توانید در مقابل حملات آچار 5 دلاری از کیف پول خود محافظت کنید. جهت غیرفعال کردن پین کد وسوسه نشوید، زیرا عبارت عبور می تواند مستعد حمله ی کی لاگر (keylogger) قرار بگیرد.