نظر توسط: Igor Zemtsov ، مدیر ارشد فناوری TBCC
Crypto Security یک بمب زمانی است. سیستم عامل به روزرسانی فقط ممکن است مسابقه ای باشد که فیوز را روشن می کند.
کیف پول های سخت افزاری به عنوان مقدس مقدس خودآمدی ، حفاظت نهایی در برابر هکرها ، کلاهبرداران و حتی دستیابی به دولت تبدیل شده است. با این حال ، یک حقیقت ناخوشایند وجود دارد که بیشتر افراد نادیده می گیرند: به روزرسانی های سیستم عامل فقط تکه های امنیتی نیستند.
آنها پشتوانه بالقوه هستند ، منتظر کسی هستند – خواه یک هکر ، یک توسعه دهنده سرکش یا شخص ثالث سایه دار – آنها را باز کند.
هر بار که یک سازنده کیف پول سخت افزار به روزرسانی را فشار می دهد ، کاربران مجبور می شوند انتخاب کنند. آن دکمه به روزرسانی را بزنید و به بهترین ها امیدوار باشید ، یا از استفاده از نرم افزار منسوخ با آسیب پذیری های ناشناخته ، از بروزرسانی و ریسک خودداری کنید. در هر صورت ، این یک قمار است.
در رمزنگاری ، یک قمار بد می تواند به معنای بیدار شدن از یک کیف پول خالی باشد.
به روزرسانی های سیستم عامل همیشه دوست شما نیستند
به روزرسانی سیستم عامل مانند عقل سلیم به نظر می رسد. امنیت بیشتر! کمتر اشکالات! تجربه بهتر کاربر!
نکته اینجاست که: هر بروزرسانی نیز فرصتی است نه فقط برای ارائه دهنده کیف پول بلکه برای هر کسی که دارای قدرت یا انگیزه باشد ، می تواند با این روند دستکاری کند.
هکرها رویای آسیب پذیری های سیستم عامل را در نظر می گیرند. یک به روزرسانی با عجله یا ضعیف می تواند نقص های کوچک و تقریباً غیرقابل تصور را معرفی کند – مواردی که در پس زمینه می نشینند و منتظر لحظه مناسب برای تخلیه بودجه هستند. و بهترین قسمت؟ کاربران هرگز نمی دانند چه چیزی به آنها ضربه زده است.
سپس احتمال نگران کننده تر وجود دارد: پشتوانه های عمدی.
اخیر: HLedger کیف پول Ardware به رقیب Trezor کمک می کند تا آسیب پذیری امنیتی را برطرف کند
شرکت های فنی قبلاً مجبور شده اند ابزارهای نظارت بر دولت را در بر بگیرند. چه چیزی باعث می شود کسی فکر کند که سازندگان کیف پول سخت افزار معاف هستند؟ اگر یک آژانس نظارتی – یا بدتر از آن ، یک سازمان جنایی – به کلیدهای خصوصی دسترسی داشته باشد ، به روزرسانی های سیستم عامل وکتور حمله کامل هستند. یک عملکرد پنهان. یک خط کد مبدل.
این تنها چیزی است که طول می کشد. هنوز فکر می کنید به روزرسانی های سیستم عامل بی ضرر هستند؟
از آسیب پذیری های سیستم عامل در حال مورد سوء استفاده شده است
این سناریوی روزمره و دوتایی نیست. قبلاً اتفاق افتاده است
لجر ، یکی از بزرگترین نام های امنیت رمزنگاری ، در سال 2018 بحران امنیتی بزرگ داشت که محقق امنیتی صالح رشید آسیب پذیری را در معرض دید قرار داد که به مهاجمان اجازه می داد تا سیستم عامل لجر نانو را جایگزین و کلیدهای خصوصی ربوده کنند. نزدیک به 1 میلیون دستگاه قبل از خاموش شدن اصلاحات در معرض خطر بودند. قسمت ترسناک؟ هیچ راهی برای کاربران وجود ندارد که بدانند آیا دستگاه های آنها قبلاً به خطر افتاده است یا خیر.
در سال 2023 ، Onekey کابوس مشابهی را متحمل شد. هکرهای کلاه سفید نشان دادند که سیستم عامل آن می تواند در چند ثانیه شکسته شود. هیچ رمزنگاری گم نشد – این بار. اما اگر مهاجمان واقعی ابتدا این نقص را پیدا کرده بودند ، چه می شود؟
سپس سوء استفاده از “Skippy Dark” به وجود آمد و حملات مبتنی بر سیستم عامل را به یک سطح کاملاً جدید منتقل کرد. فقط با دو معاملات امضا شده ، هکرها می توانند کل عبارت بذر کاربر را – بدون تنظیم یک زنگ هشدار ، استخراج کنند. اگر به روزرسانی های سیستم عامل را می توان به راحتی دستکاری کرد ، چگونه کسی می تواند مطمئن باشد که دارایی های آنها ایمن است؟
قیمت پنهان سیستم عامل به روزرسانی
برای عادلانه بودن ، همه به روزرسانی های سیستم عامل بلایای امنیتی نیستند. لجر از یک سیستم عامل اختصاصی و تراشه های عناصر ایمن برای محافظت بیشتر استفاده می کند. Trezor از یک رویکرد منبع باز استفاده می کند و به جامعه امکان می دهد سیستم عامل خود را بررسی کند. Coldcard و Bitbox02 کنترل دستی را بر روی به روزرسانی ها به کاربران می دهد ، اما خطر را کاهش می دهد – اما از بین نمی برد.
این سوال واقعی است: آیا کاربران تا به حال 100 ٪ اطمینان دارند که به روزرسانی نقص مهلک را معرفی نمی کند؟
برخی از کیف پول ها تصمیم گرفته اند که خطر را به طور کلی از بین ببرند. کشتی های Tangem با سیستم عامل ثابت و غیر قابل قبول ، به این معنی که پس از ترک دستگاه ، کد آن هرگز قابل تغییر نیست. بدون به روزرسانی بدون تکه
البته این رویکرد تجارت خود را دارد. اگر آسیب پذیری کشف شود ، هیچ راهی برای رفع آن وجود ندارد. اما در امنیت ، پیش بینی اهمیت دارد.
امنیت رمزنگاری واقعی به معنای عقب نشینی است
بازار رمزنگاری از مارس 2025 به ارزش 2.79 تریلیون دلار بود. با این پول زیادی که روی میز است ، مجرمان سایبری ، خودی های سرکش و دولت های بیش از حد همیشه به دنبال نقاط ضعف هستند. سازندگان کیف پول سخت افزار باید بر امنیت لیزر باشند.
انتخاب کیف پول سخت افزاری نباید مانند قمار با کلیدهای خصوصی باشد. این نباید شامل اعتماد کور به توانایی یک شرکت در فشار به روزرسانی با مسئولیت پذیری باشد. کاربران سزاوار بیش از اطمینان مبهم هستند. آنها سزاوار مدل های امنیتی هستند که کنترل خود را در جایی که متعلق به آنها است – با آنها.
امنیت در مورد راحتی نیست. این در مورد کنترل است. هر سیستمی که نیاز به اعتماد به توسعه دهندگان ناشناخته ، فرآیندهای به روزرسانی مات یا سیستم عامل دارد که می توانند به خواست تغییر کنند؟ این کنترل نیست. این یک مسئولیت است.
تنها راه واقعی برای ایمن نگه داشتن کیف پول سخت افزار؟ حدس را حذف کنید. اعتماد کور را دور کنید. همیشه در مورد پیشینه توسعه دهندگان تحقیق کنید ، سابقه آنها را برای حوادث امنیتی بررسی کنید و ببینید که چگونه آنها آسیب پذیری های گذشته را اداره کرده اند. به حقایق قابل اثبات بچسبید – امنیت هرگز نباید مبتنی بر فرضیات باشد.
نظر توسط: ایگور زمتسف ، مدیر ارشد فناوری در TBCC.
این مقاله برای اهداف اطلاعات عمومی است و در نظر گرفته نشده است و نباید به عنوان مشاوره قانونی یا سرمایه گذاری در نظر گرفته شود. نظرات ، افکار و نظرات بیان شده در اینجا تنها نویسنده است و لزوماً بازتاب یا نمایانگر نظرات و نظرات Cointelegraph نیست.