منبع باز: کلمه کلیدی کیف پول رمزنگاری یا امنیت واقعی؟

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

در حالی که طرح های کیف پول رمزنگاری منبع باز دارای مزایایی هستند، معاوضه هایی نیز وجود دارد.

ماه گذشته، لجر، سازنده کیف پول‌های رمزنگاری سخت‌افزاری، برنامه «بازیابی لجر» را اعلام کرد که به مشتریان امکان می‌دهد از عبارات اولیه خود در فضای ابری نسخه پشتیبان تهیه کنند و آن‌ها را با هویت دنیای واقعی خود پیوند دهند.

این اعلامیه با واکنش شدید جامعه ارزهای دیجیتال مواجه شد و بسیاری آن را مخالف ایده‌آل‌های امنیتی بلاک چین و اصل دهه‌ای مدیریت کلیدهای خود می‌دانستند.

Ledger به سرعت پاسخ داد و به مشتری اطمینان داد که عبارت seed امن است و برنامه Ledger Recover انتخاب شده است. با این حال، کل این روایت می‌تواند منجر به افزایش تقاضا برای کیف پول‌های سخت‌افزاری منبع باز شود و به جامعه اجازه دهد تا درهای پشتی سخت‌افزار و نرم‌افزار را حذف کند.

تنها یک هفته بعد، لجر اعلام کرد که نقشه راه منبع باز خود را تسریع می کند. اما کیف پول های سخت افزاری منبع باز به چه معنا هستند؟ مزایای آن چیست؟ و مهمتر از همه، آیا آنها واقعاً از همتایان منبع بسته خود ایمن تر هستند؟

آنچه که کیف پول سخت افزاری نیست

اول، به رفع برخی از تصورات غلط در مورد کیف پول های سخت افزاری کمک می کند.

هیچ ارز دیجیتالی در کیف پول شما ذخیره نمی شود.

بسیاری از مردم فکر می کنند که کیف پول های سخت افزاری برای ذخیره ارزهای رمزنگاری شده استفاده می شود، اما در واقع برای ذخیره کلیدهای خصوصی استفاده می شود. همه ارزهای دیجیتال بر روی یک بلاک چین زندگی می‌کنند و کلید خصوصی شما ثابت می‌کند که شما صاحب توکن هستید. به همین دلیل، مهم است که کلید خصوصی خود را ایمن نگه دارید. خصوصی.

تلفن همراه یدکی یک کیف پول سخت افزاری نیست.

ساخت کیف پول سخت افزاری پیچیده است و دلیل خوبی هم دارد. مردم از این دستگاه‌ها برای محافظت از دارایی‌های دیجیتالی به ارزش میلیون‌ها دلار استفاده می‌کنند و اطمینان از ایمنی سرمایه مشتری برای ساخت و حفظ برند کیف پول سخت‌افزاری ضروری است.

به همین دلیل، اجزای مختلف کیف پول سخت‌افزاری معمولاً اختصاصی هستند و نمی‌توان آنها را بدون خرید و جدا کردن دستگاه خریداری یا بازرسی کرد. برخی از کیف پول ها دارای ویژگی های ضد دستکاری داخلی برای جلوگیری از این امر هستند. تلفن‌های همراه از قطعات بسیار در دسترس‌تری استفاده می‌کنند که تحقیق و نابودی آنها را برای مهاجمان آسان‌تر می‌کند.

کیف پول های سخت افزاری ۱۰۰% ایمن نیستند

هیچ دستگاه یا نرم افزاری کاملاً در برابر حمله مصون نیست. تعامل تصادفی با یک قرارداد هوشمند مخرب می‌تواند فاجعه‌بار باشد و حتی امن‌ترین کیف پول نیز نمی‌تواند از شما در برابر تاخیر یا حملات فیشینگ محافظت کند. یک کیف پول سخت افزاری بیشتر شبیه یک کلید در یک جعبه کلید عمومی امن است تا یک صندوق بانک دیجیتال. آن‌ها ابزارهایی هستند که به شما کمک می‌کنند دارایی‌هایتان را به‌طور ایمن ذخیره کرده و به آن‌ها دسترسی داشته باشید و اطمینان حاصل کنید که همیشه امن هستند.

آیا منبع باز می تواند کمک کند؟

اگر کیف پول با استفاده از کد منبع در دسترس عموم ساخته شده باشد، ممکن است یا حداقل ادعا شود که یک حسابرسی مستقل در مقیاس بزرگ می تواند عوامل مخرب را از ورود باز دارد. اما ساخت کیف پول سخت افزاری به اعتماد بسیار بیشتری از آنچه تصور می کنید نیاز دارد، نه فقط سازنده.

زنجیره تامین این دستگاه‌ها پیچیده است و سایر شرکت‌ها در زنجیره تامین فرصت‌های معقولی برای وارد کردن درهای پشتی خود دارند. اکثر شرکت‌های کیف پول سخت‌افزاری به تولیدکنندگان قراردادی متکی هستند که تمایل دارند به زنجیره‌های تامین منشأ چین متکی باشند.

اخیراً: بیت کوین در میامی ۲۰۲۳ «سکه لعنتی بیت کوین» زیر سوال رفته است

یکی دیگر از مزایای بالقوه کیف پول های سخت افزاری منبع باز سازگاری بیشتر و مشارکت بیشتر جامعه در توسعه است. با این حال، عمومی کردن کد شما، جستجوی آسیب‌پذیری‌ها در کد شما را برای هکرها آسان‌تر می‌کند. کیف پول‌ها همچنین با استفاده از اجزای عمومی در دسترس ایجاد می‌شوند، که ساخت کیف پول‌های جعلی را برای کلاهبرداران آسان‌تر می‌کند که می‌توان از آن وجوه به سرقت برد.

نیکلاس باکا، یکی از بنیانگذاران و نایب رئیس آزمایشگاه نوآوری لجر، به کوین تلگراف گفت که بزرگترین چالشی که کیف پول های سخت افزاری منبع باز با آن روبرو هستند، توانایی کاربران برای تایید قوی صحت دستگاهشان است. او گفت که ساخت راهی برای تأیید آسان است. با اطمینان اکثر سازندگان معتبر به شما این امکان را می دهند که شماره سریال دستگاه خود را در وب سایت خود بررسی کنید تا مشروعیت آن را تأیید کنید. آیا به هر شرکتی در زنجیره تامین کیف پول سخت افزاری منبع باز اعتماد دارید؟

Bacca می‌گوید: «به یاد داشته باشید که کیف پول‌های سخت‌افزاری منبع باز تقریباً همیشه به اجزای منبع بسته متکی هستند. “تنها راه برای اینکه واقعاً بدانیم چقدر ایمن است، تلاش برای شکستن آن و مهندسی معکوس آن است.” با کیف پول های منبع بسته، این امکان پذیر نیست.

ویپول ساینی، یکی از بنیانگذاران و مدیر فناوری شرکت کیف پول Cypheroc، به کوین تلگراف گفت: “تا به حال، هیچ کیف پولی هرگز سفت‌افزاری با درپشتی اثبات‌شده منتشر نکرده است. اگر سیستم‌افزار باز باشد، در سرتاسر جهان مورد بررسی قرار خواهد گرفت.

او معتقد است که عملیات مربوط به تولید و استفاده از کلیدهای خصوصی باید متن باز باشد. او گفت: «اینجاست که درهای پشتی بزرگی مانند حملات دزدی و اعداد تصادفی پیش‌بینی‌کننده به راحتی می‌توان ایجاد کرد.

در آوریل ۲۰۲۲، هکرهای اخلاقی تیم امنیتی لجر یک آسیب‌پذیری درب پشتی را در نسل اولیه Trust Wallet، یک کیف پول نرم‌افزار منبع باز متعلق به بایننس، کشف کردند. با تراشه های خارج از قفسه، بازیگران زنجیره تامین ممکن است کدی را که بوت لودر را بارگیری می کند تغییر دهند. بوت لودر بخش مهمی برای اطمینان از اینکه مشتریان دستگاه هایی با سیستم عامل قانونی دریافت می کنند است.

حسابرسان کد از این موضوع بی اطلاع هستند، زیرا درهای پشتی را می توان در حالی که کد روی دستگاه بارگذاری می شود تزریق کرد.

وی افزود: با توجه به این محدودیت، ایجاد یک زنجیره اعتماد قوی برای یک کیف پول سخت افزاری منبع باز غیرممکن است که توزیع و استفاده ایمن آن توسط حداکثر تعداد کاربر را به شدت محدود می کند. پارادایم «چشم‌های زیادی» واقعاً برای کد امنیتی کار نمی‌کند. اکسپلویت OpenSSL Heartbleed بهترین مثال برای آن است.

آیا کیف پول های منبع باز آینده هستند؟

از آنجایی که صرافی‌های متمرکز به تلاش‌های خود برای بازسازی اعتماد با جامعه ارزهای دیجیتال ادامه می‌دهند، مردم بیش از هر زمان دیگری تشویق می‌شوند تا سکه‌های خود را در کیف پول‌های سخت‌افزاری ذخیره کنند. از آنجایی که حرکت منبع باز شتاب بیشتری به دست می‌آورد، توانایی تأیید اینکه دستگاهی دستکاری نشده است مهم خواهد بود، اما بدون واسطه این کار آسان نیست.

یکی از راه حل ها تشویق سازندگان کیف پول سخت افزاری منبع باز به پیروی از استانداردهای انجمن سخت افزار منبع باز (OSHWA) و دریافت مجوزهای سخت افزار باز CERN است. اما همانطور که نمونه‌هایی مانند بحران مالی جهانی در سال ۲۰۰۸ نشان داده‌اند، محدودیت‌هایی برای آنچه که یک مجوز یا گواهی می‌تواند تضمین کند وجود دارد.

باکا گفت: «OSHWA به ما کمک می‌کند برچسب‌گذاری مناسب، تعریف و تأیید سخت‌افزار باز را ارائه دهیم،»، اما به محافظت در برابر حملات کمک نکرد، اما از ادعاهای بازاریابی مشکوک اجتناب کرد. گفت که کمک می‌کند. باکا همچنین به چندین فروشنده موجود اشاره کرد که بدون داشتن مجوز منبع باز ادعا می کنند منبع باز هستند یا کد خود را در پایه کد منبع باز ترکیب کرده اند.

آخرین: چگونه امنیت، آموزش و مقررات می تواند تقلب در حال افزایش ارزهای دیجیتال را کاهش دهد

از ساختارهای انگیزشی نامشخص گرفته تا آزمایش های محدود در موقعیت های از پیش تعریف شده، پرداختن به محدودیت های نهاد صدور گواهی مهم است. این حرکت همچنین می‌تواند منجر به افزایش تعداد شرکت‌هایی شود که از کلمه کلیدی «متن باز» استفاده می‌کنند و عناصر اختصاصی خود را در پشت احراز هویت غیر استاندارد پنهان می‌کنند.

تولیدکنندگان منبع بسته از تراشه‌های اختصاصی برای اعمال ضمانت‌های قوی ریشه‌ای از اعتماد استفاده می‌کنند، اما یک کیف پول متن‌باز صرفاً چه چیزی را به کار می‌گیرد؟

از این گذشته، مصرف کنندگان ایمن ترین گزینه را می خواهند که به کمترین میزان اعتماد نیاز دارد.

نویسنده: Anupam Varshney