Trezor อุดช่องโหว่ความปลอดภัย หลัง Ledger พบจุดอ่อนในไมโครคอนโทรลเลอร์

Trezor ผู้ผลิตฮาร์ดแวร์วอลเล็ตได้ออกแพตช์แก้ไขปัญหาความปลอดภัยในโมเดล Safe 3 และ Safe 5 หลังจากทีมนักวิจัยโอเพ่นซอร์สของ Ledger Donjon พบช่องโหว่ในไมโครคอนโทรลเลอร์ของอุปกรณ์

แม้ว่า Trezor จะมีการพัฒนามาตรการรักษาความปลอดภัยขึ้นมาก แต่ Ledger ระบุว่า ไมโครคอนโทรลเลอร์ของ Trezor ยังคงสามารถใช้ดำเนินการเข้ารหัสได้ ซึ่งอาจทำให้เกิดช่องโหว่ต่อการโจมตีขั้นสูง

อย่างไรก็ตาม Trezor ได้แก้ไขช่องโหว่ดังกล่าวแล้ว ตามคำยืนยันของ Charles Guillemet CTO ของ Ledger ในโพสต์วันที่ 12 มีนาคม

“เรามุ่งเน้นให้ระบบนิเวศของคริปโตมีความปลอดภัยมากขึ้น ซึ่งเป็นกุญแจสำคัญในการผลักดันให้สินทรัพย์ดิจิทัลได้รับการยอมรับในวงกว้าง” Guillemet กล่าว

Trezor เพิ่มฟีเจอร์ ‘Secure Elements’ แต่ยังมีช่องโหว่ในไมโครคอนโทรลเลอร์

ก่อนหน้านี้ Trezor ได้เพิ่มระบบ Secure Elements ซึ่งเป็นชิปที่ออกแบบมาเพื่อปกป้อง PIN Code และคีย์เข้ารหัส ของผู้ใช้ ป้องกันไม่ให้แฮกเกอร์แก้ไขซอฟต์แวร์ในอุปกรณ์เพื่อล้วงข้อมูล

Ledger อธิบายในโพสต์เมื่อวันที่ 12 มีนาคมว่า “Secure Elements สามารถป้องกันการโจมตีที่ต้นทุนต่ำ เช่น การใช้แรงดันไฟฟ้าก่อกวน (Voltage Glitching)” ซึ่งช่วยให้ผู้ใช้มั่นใจได้ว่ากระเป๋าคริปโตของตนปลอดภัย แม้ว่าตัวอุปกรณ์จะสูญหายหรือถูกขโมยก็ตาม

แต่ทีมวิจัยของ Ledger พบว่าช่องโหว่ใน ไมโครคอนโทรลเลอร์ ของ Trezor ยังคงเป็นจุดอ่อนสำคัญที่สามารถถูกโจมตีได้

แม้ว่า Trezor จะมีระบบตรวจสอบความสมบูรณ์ของเฟิร์มแวร์ (Firmware Integrity Check) เพื่อป้องกันการดัดแปลงซอฟต์แวร์ แต่ Ledger สามารถสาธิตให้เห็นว่า แฮกเกอร์ยังสามารถข้ามระบบตรวจสอบนี้ได้

ล่าสุด Trezor ได้แก้ไขปัญหานี้แล้ว แต่ทั้ง Ledger และ Trezor ยังไม่ได้เปิดเผยรายละเอียดเกี่ยวกับวิธีแก้ไข

Trezor ยืนยันกองทุนของผู้ใช้ยังปลอดภัย – แต่แพตช์เฟิร์มแวร์ช่วยปิดช่องโหว่ไม่ได้

Trezor ออกแถลงการณ์ผ่าน X (Twitter) ว่า “กองทุนของผู้ใช้ยังปลอดภัย และไม่จำเป็นต้องดำเนินการใดๆ”

อย่างไรก็ตาม เมื่อถูกถามว่า Trezor สามารถอุดช่องโหว่นี้ผ่านการอัปเดตเฟิร์มแวร์ได้หรือไม่ ทางบริษัทตอบว่า “ทำไม่ได้”

“ในโลกไซเบอร์ ไม่มีอะไรที่ปลอดภัย 100% นั่นจึงเป็นเหตุผลที่เราใช้ระบบป้องกันหลายชั้น เพื่อลดความเสี่ยงจากการโจมตีผ่านซัพพลายเชน และแนะนำให้ลูกค้าซื้อสินค้าผ่านแหล่งที่เป็นทางการเท่านั้น”

Ledger เองก็ไม่รอดจากช่องโหว่ด้านความปลอดภัย

แม้ว่า Ledger จะสามารถเปิดโปงช่องโหว่ของคู่แข่งได้ แต่ตัวบริษัทเองก็เคยมีปัญหาด้านความปลอดภัยเช่นกัน

• ธันวาคม 2023: แฮกเกอร์เจาะระบบ Ledger Connector Library และขโมยสินทรัพย์คริปโตไปมูลค่ากว่า 484,000 ดอลลาร์
• มิถุนายน 2020: ข้อมูลที่อยู่ของลูกค้า Ledger กว่า 270,000 ราย ถูกเผยแพร่บนโลกออนไลน์ หลังจากแฮกเกอร์โจมตีระบบของบริษัท

เหตุการณ์เหล่านี้สะท้อนให้เห็นว่า แม้แต่ผู้ให้บริการวอลเล็ตระดับโลกก็ยังต้องเผชิญกับความเสี่ยงด้านความปลอดภัย นักลงทุนคริปโตจึงควรระมัดระวังในการเลือกใช้อุปกรณ์เก็บสินทรัพย์ดิจิทัล และติดตามการอัปเดตความปลอดภัยอย่างสม่ำเสมอ

Reference : Cointelegraph