- مدتهاست که محققان حوزهی امنیت سایبری نسبت به عدم توجه به مسئلهی «امنیت» در شبکهی ترون ابزار نگرانی کرده و همواره به کاربران هشدار میدهند. حال ژان فیلیپ آماسون(Jean-Phillippe Aumasson) بنیانگذار و افسر ارشد بخش امنیت یک شرکت سوئیسی فعال در حوزهی فناوریهای مالی به نام تائوروس(Taurus) از از یک آسیبپذیری بالقوه در کیفپول بسیار محبوب ترونلینک(TronLink) خبر داده است. به گفتهی وی، کیفپول رسمی ترون از پروتکل محبوب و در عین حال بسیار ضعیف AES-ECB برای رمزنگاری ۱۲ کلمهی نمونیک(mnemonic) استفاده میکند.
کیفپول ترون امن نیست!
آقای ژان فیلیپ آماسون(Jean-Phillippe Aumasson) بنیانگذار و افسر ارشد بخش امنیت یک شرکت سوئیسی فعال در حوزهی فناوریهای مالی که بر روی زیرساختهای دیجیتال امن برای رمزارزها و داراییهای دیجیتال تمرکز دارد، روز گذشته از یک آسیبپذیری بالقوه در کیفپول بسیار محبوب ترونلینک(TronLink) خبر داده است.
پلتفرم بلاکچینی ترون پیش از این نیز به دلیل جدی نگرفتن مسائل امنیتی متهم شده است؛ با این حال ترون در اوایل سال ۲۰۱۸ با انتشار یک نقشهی راه اولیه ادعا کرد که از این پس به موضوع امنیت توجهی ویژهای خواهد داشت. با این حال، به نظر میرسد که کدهای اصلی کیفپول ترونلینک دارای مشکلات ایمنی بالقوه است که تا به امروز کشف نشده بودند.
آقای آماسون در رابطه با این آسیبپذیری اعلام کرده است که «اینها مشکلات و نواقص اساسی هستند که هر حسابرس و مامور رسیدگی شایستهای میتواند آنها را پیدا کند».
به گفتهی آقای آماسون، کلمات نمونیک(mnemonics) کیفپول ترونلینک به شکل بسیار ضعیفی رمزنگاری میشوند. او همچنین اظهار داشت که «به نظر میرسد که کیفپول رسمی ترون از پروتکل AES-ECB برای رمزنگاری ۱۲ کلمهی نمونیک استفاده میکند». کلمات mnemonic لیستی از ۱۲ کلمه است که میتوان از آنها برای ساخت کلید خصوصی و کنترل دسترسی به داراییهای رمزارزی استفاده نمود.
کدهای ECB ضعیف هستند
حال به نظر میرسد که کدهای رمزگذاری AES-ECB که برای امنیت ۱۲ کلمهی ساخت کلید خصوصی مورد استفاده قرار میگیرند، از امنیت بالایی برخوردار نبوده و نمیتوانند با موفقیت از دادهها محافظت کنند.
آماسون در رابطه با ضعف کدهای AES-ECB اعلام نموده که:
حالت ECB هر بلاک داده را به صورت کاملاً مستقل پردازش میکند، درحالیکه برای تضمین سطح بالای امنیت و جلوگیری از هرگونه سوءاستفاده باید بین بلاکها یک همبستگی وجود داشته باشد. Jean-Phillippe Aumasson
حالت ECB سالهاست که به دلیل ضعف امنیتی و عدم تضمیت حفاظت از دادهها، توسط متخصصان و محققان حوزهی امنیت همواره مورد انتقاد قرار گرفته است. به عنوان مثال محققان شرکت امنیت سایبری ناتسوسکیور(NotSoSecure) در رابطه با آن اعلام کردهاند که «ECB سادهترین و محبوبترین حالت رمزگذاری دادهها است، اما این روش در عین حال بسیار ضعیف میباشد».
البته برای حمله موفق به داراییهای کاربران باید به صورت محلی و بر روی خود دستگاه حمله شکل بگیرد، زیرا شبکهی بلاکچینی ترون که از هرجایی قابل دسترسی است، هیچ مشکلی ندارد. با این حال، در صورت سوءاستفاده از ضعف این پروتکل رمزگذاری و موفقیتآمیز بودن حمله، مهاجم میتواند به راحتی به تمام داراییهای رمزارزی قربانی دسترسی پیدا کرده و آنها را به آدرس خود ارسال کند.
گرچه آقای آماسون توضیح داد که این مشکل امنیتی برای تمام کاربران شبکهی ترون صادق نیست، اما تاکید کرد که تمام کسانی که از این کیفپول خاص استفاده میکنند، در خطر هستند.
پیشنهادات آماسون
آماسون به تمام دارندگان رمزارز ترون توصیه میکند که در رابطه با این مشکل امنیتی خطرناک، سه گزینهی ذیل را در نظر بگیرند: اول اینکه اطمینان حاصل کنند که در نسخهی بعدی و بروزرسانی این کیفپول محبوب مشکل یاد شده رفع گردیده است؛ دوم اینکه برای کیفپول خود یک رمز عبور بسیار قوی ایجاد کرده و در نهایت به فکر یک نرمافزار جایگزین ایمن باشند.
نظر شما در رابطه با نقص امنیتی کیفپول ترون و به خطر افتادن دارایی کاربران چیست؟ چه راهکاری برای رفع این مشکل وجود دارد؟ نظرات و پیشنهادات خود را با تیم کوینیت به اشتراک بگذارید.
