زاش إكس بي تي يطلق هجومًا: «محافظ الأجهزة كلها قمامة»، والمسؤولون في Trezor يردّون: الهاتف أكثر عرضة للاختراق

التحقيق على السلسلة ZachXBT أطلق تصريحًا مؤخرًا بأن «جميع المحافظ المصممة للأجهزة هي قمامة تمامًا»، ولا ينصح باستخدامها في توقيع المعاملات أو حفظ الأموال، بل اقترح بدلًا من ذلك استخدام iPhone مخصص لتخزين العملات فقط. ردّ كبير مسؤولي الأعمال لدى Trezor Danny Sanders في اليوم ذاته، معترفًا بأن تحديثات البرامج الثابتة والبرمجيات قد تؤثر بالفعل في عمليات الطوارئ مثل المعاملات ذات القيم المرتفعة، لكنه رأى أن وصف ZachXBT ينطبق على سيناريوهات المستخدمين المتقدمين لإدارة أصول ضخمة، ولا يمكن استخدامه لنفي فئة المحافظ العتادية بالكامل. (تفاصيل سابقة: المحقق على السلسلة ZachXBT: تم سرقة 282 مليون دولار من BTC وLTC عبر «هجوم هندسة اجتماعية» على محفظة) (إضافة خلفية: المحافظ الباردة لا تمنع! جماعات الاحتيال ترسل «خطابات رسمية» لتغرير المستخدمين بكلمات الاسترجاع، لتصبح أجهزة Ledger وTrezor أهدافًا سهلة)

فهرس المقال

Toggle

  • Trezor اعترف بأن التحديث يربك المستخدمين، لكنه لا يقبل رمي الجميع في سلة واحدة
  • مشكلة iPhone المخصص تكمن في سطح الهجوم
  • Roman Storm نقل الكرة إلى مطوري المحافظ

ملخص النقاط الرئيسية

  • ZachXBT في 16 يوليو قال إن جميع المحافظ العتادية قمامة، وخصّ Ledger بالانتقاد الأسوأ، ثم روّج لاستخدام iPhone مخصص
  • Danny Sanders، كبير مسؤولي الأعمال في Trezor، دحض ذلك، مؤكدًا أن شاشة العرض المستقلة للتحقق من المعاملة هي طبقة لا تملكها الهواتف
  • Roman Storm وافق جزئيًا، مشيرًا إلى أن محافظ الهاتف المحمول تفتقر إلى دعم BIP39 Passphrase وإمكانية التوقيع دون اتصال

التحقيق على السلسلة ZachXBT في 16 يوليو على قناة Telegram أطلق عبارة قوية، قال فيها إن «جميع المحافظ العتادية قمامة تمامًا»، موضحًا أنه «لا يوصي باستخدامها في مهام مهمة مثل توقيع المعاملات أو حفظ الأموال»، ثم اقترح بدلًا من ذلك استخدام iPhone مخصص لاستخدام واحد فقط لتخزين العملات والتوقيع.

وخصّ Ledger بأنه الأسوأ ضمن هذه الفئة، واعتبر أن Ledger Live كثيرًا ما يقوم بالتحديث من أجل الواجهة وتحديث التطبيقات، دون سبب واضح، ومع ذلك يؤدي ذلك إلى كسر عمليات بسيطة. وذكر أن نقاط الألم التي يسردها تبدو مثل نفاد البطارية، أو الاضطرار إلى تحديث البرامج الثابتة، إضافة إلى أنه بعد تغيير تصميم الواجهة أصبح التوقيع المتعدد غير ممكن.

بالنسبة لشخص يتعامل يوميًا مع قضايا السرقة، ليست هذه الشكاوى مجرد تنظير، بل أشياء رآها في موقع وقوع الجريمة.

Trezor اعترف بأن التحديث يربك المستخدمين، لكنه لا يقبل رمي الجميع في سلة واحدة

في اليوم نفسه، رد Danny Sanders، كبير مسؤولي الأعمال في Trezor، وبدأ بالاعتراف بنصف النقاط. قال إن تحديثات البرامج أو البرامج الثابتة قد تؤثر بالفعل في عمليات الطوارئ مثل المعاملات ذات القيم المرتفعة، وإن المنتج حاليًا لا يزال يفتقر إلى قدر كافٍ من التوازن بين الأمان وسهولة الاستخدام.

لكنّه رأى أن السيناريو الذي وصفه ZachXBT ينطبق أساسًا على المستخدمين المتقدمين الذين يديرون أصولًا ضخمة، وهي فئة أصول لا ينبغي أصلًا الاعتماد فيها على محفظة عتادية واحدة فقط.

الأشخاص الذين يديرون كميات كبيرة من الأصول في بيئات عالية المخاطر يحتاجون إلى إعدادات مختلفة، ولا تعد محفظة عتادية واحدة هي أفضل خيار لهم. لكن هذا لا يعني أنه يمكنك القول إن كل شيء قمامة.

مشكلة iPhone المخصص تكمن في سطح الهجوم

Sanders لم ينفِ بالكامل اقتراح ZachXBT. وقال إن إدراج iPhone مخصص لتوقيع المعاملات وتخزين الأصول ضمن خطة أمان متقدمة له قيمة، لكن المشكلة أن الهاتف يحمل ميزات مثل Wi-Fi وBluetooth والشبكة الخلوية وiMessage وغيرها، ما يجعل سطح الهجوم أكبر بكثير من سطح المحفظة العتادية.

وشدّد على أن المحافظ العتادية لديها شاشة مخصصة خاصة بها، ويمكن للمستخدم التحقق من تفاصيل المعاملة قبل التوقيع. وتُعد هذه طبقة تحقق مستقلة لا يستطيع الهاتف المتصل بالشبكة توفيرها، وهي ما تزال—بالنسبة لمعظم المستخدمين المشفرين—أقوى حل لإدارة الأصول ذاتيًا حتى الآن.

هذه المناقشة تتعلق في الحقيقة بنوعين مختلفين من التهديدات. ZachXBT قلق من أن الجهاز قد لا يعمل في اللحظة الحاسمة، بينما Sanders قلق من أن الجهاز قد يتعرض لاختراق عبر بيئة متصلة. الأولى مشكلة تتعلق بإمكانية الاستخدام، والثانية تتعلق بالأمان؛ كلاهما لم يخطئ، لكن كل طرف يستند إلى حالة فشل مختلفة.

Roman Storm نقل الكرة إلى مطوري المحافظ

Roman Storm، المؤسس المشارك لـ Tornado Cash، وافق جزئيًا على وجهة نظر ZachXBT، لكنه أشار إلى أن نقطة التعثر تكمن في الوظائف: في الوقت الحالي، المحافظ المحمولةلا تدعم على نطاق واسع BIP39 Passphrase (كلمة مرور عبارة الاسترجاع) ولا تدعم التوقيع دون اتصال (Air-gapped Signing)، ودعا مطوري المحافظ إلى سد هاتين الفجوتين في أقرب وقت.

كما خرجت جهات أخرى للتعليق. شركة تصنيع المحافظ العتادية Keystone اعترفت بأن انتقادات ZachXBT لها أساس، لكنها شددت على أن معظم المستخدمين ما زالوا يحتاجون إلى أجهزة مخصصة، وأن يكون لديهم انضباط. أما Ledger فترتكز في رسالتها على أن المفاتيح الخاصة دون اتصال لا يمكن خداعها بالتصيّد أو العبث بها.

الأسئلة الشائعة

لماذا يقول ZachXBT إن المحافظ العتادية قمامة؟

في 16 يوليو أشار إلى أن المحافظ العتادية قد تتعثر بسهولة في لحظة حرجة، بما في ذلك نفاد البطارية، والاضطرار إلى تحديث البرامج الثابتة، وتسبب تغييرات الواجهة في عدم القدرة على تنفيذ التوقيع المتعدد، كما خصّ بالذكر أن Ledger Live غالبًا ما يتم تحديثه لأجل التحديث نفسه، ما يؤدي إلى إفساد عملية كانت بسيطة في الأصل.

هل تخزين العملات في iPhone مخصص أكثر أمانًا فعلًا؟

Danny Sanders، كبير مسؤولي الأعمال في Trezor، يرى أن ذلك ذو قيمة للمستخدمين المتقدمين، لكن الهاتف يمتلك Wi-Fi وBluetooth والشبكة الخلوية وiMessage، ما يجعل سطح الهجوم أكبر من سطح المحفظة العتادية، كما أنه يفتقر إلى شاشة مستقلة للتحقق من تفاصيل المعاملة قبل التوقيع.

BTC%0.73
LTC%4.85
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
  • أعجبني
  • تعليق
  • إعادة النشر
  • مشاركة
تعليق
إضافة تعليق
إضافة تعليق
لا توجد تعليقات
  • مُثبت