ผู้ให้บริการฮาร์ดแวร์วอลเล็ต Trezor ได้อุดช่องโหว่ความปลอดภัยในอุปกรณ์รุ่นล่าสุด 2 รุ่น หลังจากที่แผนกวิจัยโอเพ่นซอร์สของ Ledger ค้นพบจุดอ่อนในไมโครคอนโทรลเลอร์ของอุปกรณ์
Ledger Donjon ซึ่งเป็นหน่วยวิจัยด้านความปลอดภัยของ Ledger ยอมรับว่า Trezor ได้พัฒนามาตรการด้านความปลอดภัยไปมากในช่วงที่ผ่านมา แต่ยังพบว่าไมโครคอนโทรลเลอร์ของ Trezor Safe 3 และ Safe 5 สามารถใช้ดำเนินการเข้ารหัสบางอย่างได้ ซึ่งอาจทำให้เสี่ยงต่อการถูกโจมตีขั้นสูง
อย่างไรก็ตาม Trezor ได้แก้ไขปัญหานี้แล้ว ตามที่ Charles Guillemet ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Ledger ยืนยันในโพสต์บน X เมื่อวันที่ 12 มีนาคม
“เราเชื่อว่าการทำให้ระบบนิเวศของคริปโตปลอดภัยขึ้นจะช่วยให้ทุกคนได้รับประโยชน์ และเป็นสิ่งสำคัญต่อการขยายการใช้งานคริปโตและสินทรัพย์ดิจิทัล” – Charles Guillemet
Trezor ยกระดับความปลอดภัยด้วย Secure Elements แต่ยังมีช่องโหว่
Trezor ได้เพิ่มชิป Secure Elements ซึ่งออกแบบมาเพื่อปกป้อง PIN Code และข้อมูลสำคัญทางคริปโตของผู้ใช้ โดยก่อนหน้านี้ อุปกรณ์บางรุ่นของ Trezor อาจถูกดัดแปลงซอฟต์แวร์เพื่อให้แฮ็กเกอร์สามารถขโมยเงินของผู้ใช้ได้
Ledger ระบุในโพสต์เมื่อวันที่ 12 มีนาคมว่า Secure Elements สามารถป้องกันการโจมตีด้วยฮาร์ดแวร์ราคาถูก โดยเฉพาะการโจมตีด้วยวิธี Voltage Glitching
“เทคโนโลยีนี้ช่วยให้ผู้ใช้มั่นใจได้ว่าเงินของพวกเขาจะปลอดภัย แม้ในกรณีที่อุปกรณ์สูญหายหรือถูกขโมย” – Ledger
อย่างไรก็ตาม Ledger พบว่า ไมโครคอนโทรลเลอร์ ซึ่งเป็นอีกองค์ประกอบหลักของการออกแบบสองชิปของ Trezor Safe 3 และ 5 ยังคงมีช่องโหว่ที่สามารถถูกโจมตีได้
Trezor ได้พัฒนาฟีเจอร์ตรวจสอบความถูกต้องของเฟิร์มแวร์ (Firmware Integrity Check) เพื่อตรวจจับซอฟต์แวร์ที่ถูกดัดแปลง แต่ Ledger พบว่ายังมีวิธีที่แฮ็กเกอร์สามารถหลบเลี่ยงการตรวจสอบนี้ได้
แม้ว่า Trezor จะแก้ไขปัญหานี้แล้ว แต่ทั้ง Ledger และ Trezor ไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีการแก้ไข โดย Cointelegraph ได้ติดต่อไปยัง Trezor แต่ยังไม่ได้รับคำตอบในทันที
Trezor ยืนยันเงินของผู้ใช้ยังปลอดภัย – แต่ไม่สามารถแก้ไขปัญหาผ่านเฟิร์มแวร์ได้
Trezor ได้ยืนยันบน X ว่า เงินของผู้ใช้ยังคงปลอดภัย และไม่มีความจำเป็นต้องดำเนินการใดๆ
อย่างไรก็ตาม เมื่อถูกถามว่า Trezor สามารถแก้ไขช่องโหว่นี้ผ่านเฟิร์มแวร์ได้หรือไม่ ทางบริษัทตอบว่า “น่าเสียดายที่ไม่สามารถทำได้”
“ในโลกของไซเบอร์ซีเคียวริตี้ มีกฎทองข้อหนึ่ง: ไม่มีอะไรที่ปลอดภัย 100% นั่นคือเหตุผลที่เรามีมาตรการป้องกันหลายชั้นเพื่อต่อต้านการโจมตีในห่วงโซ่อุปทาน และขอแนะนำให้ลูกค้าซื้ออุปกรณ์จากแหล่งที่เป็นทางการเสมอ” – Trezor
Ledger เองก็ไม่รอดจากปัญหาความปลอดภัย
แม้ Ledger จะตรวจพบช่องโหว่ในอุปกรณ์ของ Trezor แต่ตัวเองก็เคยเผชิญกับปัญหาความปลอดภัยเช่นกัน
- ธันวาคม 2023: แฮ็กเกอร์เจาะเข้าคลังโค้ดของ Ledger Connector Library และขโมยคริปโตไปมูลค่า 484,000 ดอลลาร์
- มิถุนายน 2020: แฮ็กเกอร์เผยแพร่ที่อยู่ผู้ใช้ Ledger จำนวน 270,000 ราย จากฐานข้อมูลของบริษัท
กรณีเหล่านี้แสดงให้เห็นว่า ไม่มีอุปกรณ์ใดปลอดภัย 100% และผู้ใช้ควรเลือกซื้อจากแหล่งที่เชื่อถือได้เสมอเพื่อป้องกันความเสี่ยงจากการโจมตีด้านความปลอดภัย
อ้างอิง : cointelegraph.com
