قرأت التعاليق الساخرة التي اوردتها في الموضوع، و ما أجده بالفعل مضحكا هو أن بعض المستخدمين، مثل من قام بكتابة اول تعليق ساخر، يعتقد ان الشركة تحتفظ بعملات او أموال العملاء!
الشركة المالكة للمحفظة لا تمتلك او تتحكم باي قرش من رصيد المستخدمين، و عدم ادراك المستخدمين لهذا الواقع هو بالفعل ما يطرح أكثر من سؤال. من المفترض على اي شخص في وقتنا الحالي ان يعرف على الاقل الخصائص الجوهرية للمنتج الذي يستخدمه.
Topic: حادثة محفظة الهاردوير الشهيرة ليدجر!!! (Read 118 times)
Quote
Your Ledger device and Ledger Live were not compromised.
لقد تم اضافة هذه العبارة في اخر التصريح للمحفظة لتهدئة واطمئنان المستخدمين لكن على ما يبدوا انه لن يمر المزيد من الوقت الا ان نرى اختراقات مباشرة للاجهزة من هذه الشركة التي بدأت كاول خبر سلبي بالقدرة على حفظ المفاتيح الخاصة للمستخدمين. التطبيقات اللامركزية او بما يسمى Dapp في الويب الثالث تبقى دائما خطر ومليئة بالثغرات ومن الضروري استخدام محفظة اخرى مستقلة عند التعامل مع مواقع Web3 لتفادي اي مشاكل واعطاء تصريحات لتلك التطبيقات بنقل عملاتك دون اي علم منك.اضحكني تعليق احد الاشخاص ردا على الحادثة وطلب من الشركة فتح عملة او توكن خاص بهم لكي يقوم بالتداول عكسه.
ماذا تعني ب air-gapped ؟
يعني أي جهاز غير متصل بالأنترنت، Bluetooth أو NFC أو وسيلة لا سلكية أخرى.
صراحة مازلت أرى أن Trezor مازال أفضل خيار خاصة الأن بعد اطلاقها للنسخة للجديدة لمحفظتها (Trezor Safe 3) الذي يحتوي على Secure element[1]
[1] https://trezor.io/learn/a/secure-element-in-trezor-safe-3
على الرغم من كل شئ فانا افضل air-gapped
ماذا تعني ب air-gapped ؟
لذلك وفي كل حادثة مثل هده الحوادث تزيد قناعتي بانه لا مفر من التحول الى الاشياء مفتوحة المصدر لتقليق هده المخاطر, طبعا هدا النوع من الاختراق كان يمكن ان يحدث لاي محفظة اخرى, وانا ضد استخدام محافظ الهاردوير للاتصال بمحافظ خارجية واستعمالها في Dapps وغيرها لانه تذكر كل مازاد استخدامك للمحفظة زادت فرصة اختراقها, لذلك يجب ان تبقي على وظائفها الاساسية وهي تخزين الامول وتحويلها عند الحاجة فقط.
لا ادرى ولكن في نظري اي خدمة مغلقة المصدر تعلن عن طرد عدد كبير من الموظفين فيجب الابتعاد عنها, هؤلاء الاشخاص الذين لدديهم معرفة بكيفية عمل الشركة هم كابوس ان تم طردهم.انها فرصة اخيرة لهذه الشركة لجعل كل شئ مفتوح المصدر والا فان الهلع سيؤدي بالكل لتجنب شراء اجهزتهم.
على الرغم من كل شئ فانا افضل air-gapped خصوصا وانني لا اشتري الا البيتكوين وبالتالي فالحاجة لمحفظة اجهزه اقل.
لذلك وفي كل حادثة مثل هده الحوادث تزيد قناعتي بانه لا مفر من التحول الى الاشياء مفتوحة المصدر لتقليق هده المخاطر, طبعا هدا النوع من الاختراق كان يمكن ان يحدث لاي محفظة اخرى, وانا ضد استخدام محافظ الهاردوير للاتصال بمحافظ خارجية واستعمالها في Dapps وغيرها لانه تذكر كل مازاد استخدامك للمحفظة زادت فرصة اختراقها, لذلك يجب ان تبقي على وظائفها الاساسية وهي تخزين الامول وتحويلها عند الحاجة فقط.
اتفق معك تماما أخي mikeywith ، أعجبني قول قرأته على تويتر "تعامل مع المحفظة كأنها خزنة تماما" يعني الخزنة هي لحفظ الأموال فقط وعندما تريد بعض النقود تقوم بفتح الخزنة وتأخذ حاجتك ثم تعيد قفلها من جديد، وهكذا يجب أن تكون المحفظة تماما. نقطة أخرى أود الإشارة إليها وهي يمكن أن تكون ثغرة أمنية خطيرة وهي blind singing حيث عندما يقوم المستخدم بتوصيل محفظته الصلبة إلى المنصات المركزية أو أحد تطبيقات DAPP سيقوم في معظم الأحيان بالتوقيع على عقد ذكي لاستخدام المنصة أو التطبيق من دون أن يقرأ تفاصيل هذا العقد ولا يعرف مضمونه وهو ما يسمى blind singing، إذا كان التطبيق أو المنصة موثوق فلا مشكلة في ذلك أما إذا كان تطبيق غير موثوق أو مهكر فسوف يقوم الهاكر باستغلال العقد والاستيلاء على المحفظة.
لذلك الحل الأمثل كما ذكرت أخي عندم توصيل المحفظة إلى أي منصة لامركزية أو تطبيق واستخدامها عند الحاجة لسحب الأموال فقط .
كان يجب ترك محفظة ليدجر فور الفضيحة السابقة التي راجت قبل بضعة اشهر, حين كشفت ليدجر عن اكاذيبها حول نقطة جوهرية بخصوص المحفظة الا وهي ان المفاتيح الخاصة و seedphrase يمكن نقله من خارج المحفظة او خارج مايعرف ب secured element وحفظه على cloud, حيث لطالما كان هدا السبب الرئيسي من اقتناء محفظة هاردوير والا فما الفرق بينها وبين اي محفظة اخرى؟
لذلك وفي كل حادثة مثل هده الحوادث تزيد قناعتي بانه لا مفر من التحول الى الاشياء مفتوحة المصدر لتقليق هده المخاطر, طبعا هدا النوع من الاختراق كان يمكن ان يحدث لاي محفظة اخرى, وانا ضد استخدام محافظ الهاردوير للاتصال بمحافظ خارجية واستعمالها في Dapps وغيرها لانه تذكر كل مازاد استخدامك للمحفظة زادت فرصة اختراقها, لذلك يجب ان تبقي على وظائفها الاساسية وهي تخزين الامول وتحويلها عند الحاجة فقط.
لذلك وفي كل حادثة مثل هده الحوادث تزيد قناعتي بانه لا مفر من التحول الى الاشياء مفتوحة المصدر لتقليق هده المخاطر, طبعا هدا النوع من الاختراق كان يمكن ان يحدث لاي محفظة اخرى, وانا ضد استخدام محافظ الهاردوير للاتصال بمحافظ خارجية واستعمالها في Dapps وغيرها لانه تذكر كل مازاد استخدامك للمحفظة زادت فرصة اختراقها, لذلك يجب ان تبقي على وظائفها الاساسية وهي تخزين الامول وتحويلها عند الحاجة فقط.
السلام عليكم, حدث اليوم، أن مجموعة Ledger ConnectKit NPM التي تُستخدم عبر أغلب التطبيقات المركزية ثم تحديث إصدارها بأحد الإصدارات الضارة من خلال استبدال الأكواد البرمجية لأكواد برمجية ضارة خبيثة على جيتهاب, حيث بعد أن يقوم مستخدمو المحفظة بالتفاعل مع منصات التداول المركزي والويب ثرى التي تستخدم حزمة Ledger ConnectKit فيتم توجيه أموالهم إلى محفظة الهاكرز، يعود هذا إلى أحد الموظفين السابقين الذي وقع ضحية في عملية احتيالية فتمكن المحتالون من الوصول إلى حسابه على NPMJS وقد استمر الكود الخبيث فعالاً لمدة لخمس ساعات وقد أصلحت ليدجر الأمر بعد مرور أربعون دقيقة بعد تلقيهم هذا التنبيه، ومن الجيد أنه قامت شركة التيثر بتجميد عنوان مستغل ليدجر وكان يحتوي عنوان محفظته على 44 ألف دولار وأصول أخرى تبلغ 412 ألف دولار،
يرجى الآن استخدام الإصدار المحدث 1.1.8 والتحقق من أنك تستخدم آخر إصدار،
وأيضا لا تنسى دائما أن تقوم بمسح التوقيع من خلال محفظة ليدجر اطلع على الرابط التالى لمعرفة كيف: [هنا].
الآن فريق ليدجر يعملون على مساعدة العملاء المتضررين الذين تأثرت أموالهم ويقومون بتقديم شكوى مع جهات إنفاذ القانون ويدرسون الاستغلال لتجنب الهجمات المستقبلية.
كانت هذه بعض الانتقادات من قبل الاشخاص عن ما حدث:
يقول احدهم ساخراً: كيف لشركة تحتفظ بمليارات الدولارات لعملائها لا تستطيع منع أحد الموظفين السابقين من إمكانية الوصول، وهو أحد الإجراءات الأمنية الأساسية؟
وقال شخص اخر: هذه إشارة واضحة على ضرورة توجه المستخدمين إلى إستخدام محفظة تريزور.
الآن أرائكم ستكون محل تقدير. شكراً لكم على القراءة
المصادر:
[1] https://twitter.com/Ledger/status/1735291427100455293
[2] https://twitter.com/Ledger/status/1735326240658100414
يرجى الآن استخدام الإصدار المحدث 1.1.8 والتحقق من أنك تستخدم آخر إصدار،
وأيضا لا تنسى دائما أن تقوم بمسح التوقيع من خلال محفظة ليدجر اطلع على الرابط التالى لمعرفة كيف: [هنا].
الآن فريق ليدجر يعملون على مساعدة العملاء المتضررين الذين تأثرت أموالهم ويقومون بتقديم شكوى مع جهات إنفاذ القانون ويدرسون الاستغلال لتجنب الهجمات المستقبلية.
كانت هذه بعض الانتقادات من قبل الاشخاص عن ما حدث:
يقول احدهم ساخراً: كيف لشركة تحتفظ بمليارات الدولارات لعملائها لا تستطيع منع أحد الموظفين السابقين من إمكانية الوصول، وهو أحد الإجراءات الأمنية الأساسية؟
وقال شخص اخر: هذه إشارة واضحة على ضرورة توجه المستخدمين إلى إستخدام محفظة تريزور.
الآن أرائكم ستكون محل تقدير. شكراً لكم على القراءة
المصادر:
[1] https://twitter.com/Ledger/status/1735291427100455293
[2] https://twitter.com/Ledger/status/1735326240658100414
Jump to: