كشف Ledger Donjon، قسم الأبحاث الأمنية في Ledger، عن ثغرة أمنية في محافظ Tangem الأجهزة تسمح للمهاجم بإعادة تعيين كلمة مرور البطاقة من خلال هجوم حقن الأخطاء بالليزر. واستجابت Tangem قائلة إن المخاطر التي يتعرض لها المستخدمون العاديون "غير موجودة فعلياً".
تمت ترجمة هذا المقال من النسخة الأصلية. اقرأ النسخة الأصلية التي أعدها مراسلنا هنا.
وفقاً لمدونة Ledger Donjon, تؤثر الثغرة على جميع بطاقات Tangem التي تم إصدارها حتى الآن ولا يمكن إصلاحها من خلال تحديث البرنامج لأن الأجهزة لا تدعم ترقيات البرامج الثابتة (firmware).

هجوم إعادة تعيين كلمة مرور بطاقة Tangem. المصدر: Ledger Donjon.
لتنفيذ الهجوم، احتاج باحثو Ledger إلى وصول مادي للبطاقة، ومعدات حقن أخطاء بالليزر تبلغ قيمتها حوالي 250,000 دولار، وأدوات تحليل القنوات الجانبية، وخبرة متقدمة في أمن الأجهزة.
الهجوم يمنح سيطرة كاملة على المحفظة
وفقاً للباحثين، قاموا بإزالة الطبقة الواقية للشريحة وتوصيل البطاقة بمعدات مختبرية متخصصة. وباستخدام نبضة ليزر بالنانو ثانية، عطلوا عملية التحقق من وضع الاسترداد.سمح لهم ذلك بتجاوز فحص حالة الاسترداد للبرامج الثابتة وتعيين كلمة مرور جديدة دون معرفة رمز PIN الأصلي أو استخدام بطاقة نسخة احتياطية.
بمجرد إعادة تعيين كلمة المرور، يمكن للمهاجم تفويض المعاملات والسيطرة الكاملة على الأصول المشفرة المخزنة في المحفظة.
. وقالت Ledger Donjon إنها نجحت في تكرار الهجوم على عدة بطاقات Tangem، حيث استغرقت كل محاولة حوالي ساعتين لإكمالها.
Tangem تقول إن المخاطر على المستخدمين ضئيلة
جادلت Tangem بأن المخاطر العملية للهجوم "غير موجودة فعلياً". وأشارت الشركة إلى أن الاستغلال يتطلب معدات مختبرية تكلف مئات الآلاف من الدولارات، وحيازة مادية للبطاقة، وخبرة متخصصة للغاية.
كما أشارت Tangem إلى أن Donjon هي جزء من Ledger، أحد أكبر منافسيها في سوق محافظ الأجهزة، وقالت إن هذه الحقيقة يجب أخذها في الاعتبار عند تقييم النتائج المنشورة.
وأضافت الشركة أنه في حالة توفر الوقت والموارد الكافية والوصول المادي للجهاز، يمكن إجراء أبحاث مماثلة ضد أي شريحة آمنة تقريباً.
في وقت سابق، حذرت شركة الأمن Coinspect من ثغرة Ill Bloom التي تؤثر على آلاف محافظ العملات المشفرة عبر شبكات Bitcoin, وEthereum، وPolygon، وRootstock، وTron، وSolana. ويقدر الباحثون أن المهاجمين سرقوا ما لا يقل عن 5 ملايين دولار منذ أواخر مايو من خلال استغلال ضعف توليد عبارات البذور (seed phrases) في محافظ برمجية معينة.
في وقت سابق، قدمت Ledger تطبيق Ledger Wallet المحدث الذي يجمع بين شراء وبيع ومبادلة وتخزين الأصول الرقمية ضمن واجهة واحدة.
آخر أخبار crypto
- Forex
- Crypto