برچسب: امنیت

کیف پول الکترام(Electrum Bitcoin Wallet)؛ طراحی ساده با ویژگی های قوی

تاریخچه
کیف پول الکترام، یکی از قدیمی ترین کیف پول های بیتکوین است. این کیف پول در 5 نوامبر 2011 ، توسط Thomas Voegtlin ساخته شده است. Electrum یک کیف پول ساده و سبک است. در طول سال ها، توسعه دهندگان مختلف کد منبع آن را توسعه دادند. این کیف پول open source است

نحوه نصب و ایجاد کیف پول الکترام
نصب کیف پول الکترام را با سیستم عامل ویندوز آموزش می دهیم؛ چون اکثر کاربران از ویندوز استفاده می کنند.
برای نصب گام های زیر را دنبال کنید:
مراجعه به سایت رسمی الکترام ودانلود فایل نصبی
به یک نکته ی مهم امنیتی توجه کنید که همیشه برای دانلود نرم افزار و یا بروز رسانی ولت الکترام باید حتما از وبسایت اصلی استفاده شود. هیچ دکمه آپدیتی درون این برنامه قرار داده نشده است.  پس باید حتما به وبسایت مراجعه کرده و نسخه نهایی را از آنجا دانلود کنید. وب سایت های جعلی زیادی وجود دارند که هدف آن ها سرقت بیت کوین های شماست. بهتر است وب سایت را در مرورگر خود بوک مارک کنید تا در مراجعات بعدی دچار مشکل نشوید.

بر روی منوی download در بالای صفجه کلیک کنید تا صفحه ی زیر باز شود:

در بخش دانلود بر اساس سیستم عامل مورد نیازمان فایل نصبی برنامه را دانلود میکنیم .

  1. گام دوم: نصب و اجرا

پس از اتمام دانلود ، فایل نصبی را اجرا کنید تا الکترام نصب شود.در این مرحله یک مسیر برای نصب انتخاب کرده و بر روی install  کلیک کنید.همانطور که می بینید فضای بسیار کمی برای نصب نیاز دارد.سپس بر روی next بزنید.

در مرحله بعدی برای اتصال خودکار به نودهای شبکه گزینه اول Auto connect را انتخاب کرده و بر روی next کایک کنید.

در این قسمت یک نام برای کیف پولتان انتخاب می کنید. انتخاب نام بسیار ضروری می باشد، چون ممکن است شما چندتا کیف پول داشته باشید.

دکمه ی next  رو انتخاب کنید و به مرحله ی بعد بروید.

در مرحله بعدی می توانید  نوع کیف پول خود را انتخاب کنید.چهار تا انتخاب به ما می دهدکه به ترتیب:

کیف پول استاندارد

کیف پول با تایید دو مرحله‌ای

کیف پول‌های چند امضایی

بازیابی کیف پول با کلید خصوصی یا مشاهده موجودی یک آدرس دیگر

ما از گزینه اول یعنی کیف پول استاندارد استفاده می کنیم. و سپس next بزنید.

مرحله بعدی create a new seed  یا انتخاب عبارتی برای یادآوری کلید است.

در واقع seed کلمه های بکاپ یا یادآور ولت جدید است .

دکمه ی next را انتخاب کرده و به مرحله ی بعدی بروید .

در این مرحله نوع آدرس ولت را انتخاب میکنیم .که اینجا معمولا segwit پیشنهاد می شود . دکمه next  رو بزنید.

در مرحله بعدی 12 کلمه ی پشتیبان ولت را نشان میدهد.

این کلمات را باید روی کاغذ بنویسید . ترتیب این کلمات مهم است.

نکته 1: کاربرد این کلمات برای مواقعی هست که اگر کیف پول شما یا یندوز پاک شد. یا کامپیوتر خراب شد . شما برای دسترسی به ولت ها باید حتما این کلمات رو داشته باشید . واقعا مهم است که این کلمات رو یادداشت کنید و در جای امن نگهداری کنید.هیچکسی نباید از شما درخواست سید کند !

نکته 2: ولت الکترام تیم پشتیبانی ندارد ! انجمن دارد ولی تیم پشتیبانی ندارد که شما بتوانید ایمیل بدهید اگر جایی برای رفع مشکل پشتیبانی از شما درخواست کند که کلمه های سید ولت را ارسال کنید. احتمالا سارق هستند و قصد دزدی ولت شما را دارند.اطلاعات ولت را هرگز بصورت الکترونیکی نگهداری نکنید .حتما روی کاغذ بنویسید .برخی روی فلز حکاکی میکنند.

مرحله بعدی از شما می خواهد کلمه های سید را وارد کنید تا مطمئن شود شما کلمات را به درستی وارد می کنید.

12 کلمه را تایپ میکنید و دکمه ی next  را میزنید تا به مرحله ی بعدی برید .

مرحله بعدی انتخاب یک رمز عبور برای دسترسی به کیف پول است.

کیف پول شما ایجاد شد . به همین سادگی!!

نحوه ارسال و دریافت بیت کوین :

سه گزینه history  & send & reccive در صفحه اصلی وجود دارد که آنها را بررسی می کنیم.

نحوه ارسال بیت کوین: (بخش send)

برای ارسال بیت کوین باید آدرس مقصد را داشته باشید.آدرس مقصد از بخش receive و انتخاب گزینه request قابل دسترس است. گیرنده باید این آدرس را کپی کرده و برای فرستنده یا مبدا ارسال کند.می توان از کد QR هم برای انتقال استفاده کرد.

فرستنده یا مبدا با داشتن ادرس مقصد آنرا در قسمت pay  قرار می دهد.

دقت کنید آدرس مقصد را بار دیگر چک کنید و از درستی و صحت آن اطمینان حاصل کنید.

بخش description هم میتوانید خالی بذارید یا توضیحی بنویسید.

در قسمت Amount مقدار بیت کوینی که می خواهید انتقال دهید را وارد کنید.و در آخر گزینه ی pay را انتخاب کنید .در مرحله بعدی با یک نوار غلطان امکان انتخاب میزان هزینه تراکنش یا fee را دارید.

سپس پسورد را وارد کرده و ارسال کنید.

تراکنش انجام شد و این هم شناسه تراکنش شما که به صورت هش می باشد.

وقتی میگیم از اکسچنج‌ها استفاده نکنید منظورمون چیه؟

تو یه مدت اخیر کوین‌بیس یه سری حسابا رو بدون هیچ توضیحی بسته!! این سرویس قبلا هم چند ده هزارتا کوین راس اولبریخت رو هم مصادره کرد و داد به FBI #رشته‌توییت

ما ایرانیا معمولا هیچ‌جا از دیدنمون خوشحال نمیشن و چندین بار سابقه بسته شدن حسابامون رو داشتیم (پولونیکس و بیترکس در سال 2017).
ولی این یه سناریوی مهم‌ و جهانی‌تریه!!! بهش میگن “کوین‌های لکه‌دار یا کثیف”

تراکنش‌های #بیتکوین مجموعه‌ای از ورودی و خروجی‌ها هستن که فکرش رو بکنیدمثل یه متن روی کاغذ یا چک هستن با امضای منحصر به فرد خودتون. سابقه‌ی این دیتا رو هم توی بلاکچین بیتکوین میشه تا لحظه‌ی اولی که یه کوین به ماینر پاداش داده میشه دید. حالا فکرش رو بکنید یه نفر برای خرید مواد مخدر از بیتکوین استفاده کنه و بعدش فروشنده مواد اون کوین رو به صرافی بفروشه و صرافی اونو به شما بفروشه (یا کوین دزدی باشه). زمانی که اون موادفروش رو بگیرن و حساب بیتکوینش رو تشخیص بدن اونوقت میتونن بررسی کن و بفهمن الان کوینی که تو حساب شماست به اصطلاح “لکه‌دار” یا “کثیف” هستش.

حالا اکسچنج‌هایی مثل کوین‌بیس (و شاید خیلی از اکسچنج‌های دیگه) یه بلک‌لیست میسازن از کوین‌هایی که لکه‌دار هستن. اگه اون کوین یه وقت اومد تو کوین‌بیس اون حساب رو میبندن. (شبیه بلک لیستی که احتمالا برای اشخاص توی بانک‌ها و توی درگاه‌پرداخت‌ها وضع شده).

این بحث خیلی باز و مبهم هستش و سوالاتی که مطرح میشه درموردش این‌ها هستن:

  • آیا کوین‌بیس (یا هر اکسچنج دیگه) حق انجام چنین کاری رو داره؟
  • با فرض اینکه حق انجام این کار رو داره، آیا نباید مشتری‌هاش از اون لیستی که برای کوین‌های لکه‌دار ساخته اطلاع داشته باشن؟
  • آیا نباید مردم بدونن که چی کوین لکه‌دار حساب میشه چی حساب نمیشه؟ (هک، دزدی، عمق تراکنش تو بلاکچین و و و .)
  • شخصی یا اشخاصی که تصمیم گیرنده‌ن و حکم لکه‌دار بودن رو رد میکنن کیا هستن؟
  • حالا وقتی اون کوین لکه‌دار رو مصادره کرد باهاش چکار میکنه؟ آیا حالا که کوین‌بیس مصادره‌ش کرده این کوین از این به بعد تمیز میشه؟ اگه جواب مثبته اونوقت کی همچین حقی بهشون میده؟ و چه کسای دیگه‌ای اجازه مصادره و تمیز کردن کوین دارن؟
  • اگه حساب کسی رو ببندن آیا اسم و اطلاعات اون شخص رو به FBI یا دیگر اکسچنج‌ها میدن؟
  • اگه کوین‌ قبلا consolidate شده باشه (مقادیر ریز و پراکنده باهم تبدیل به یه مقدار بزرگ و واحد میشن) آیا مشکوک میشن؟ اگه تو تاریخچه‌ش لکه‌ای باشه همه‌ی اون مقادیر از این به بعد لکه‌دار هستن؟؟

باز هم سوالاتی وجود داره. ولی نکته‌ی مهم رو میخوام بگم اینجا اینکه ایرانی بودن یا نبودن تنها دلیل استفاده کردن یا نکردن از اکسچنج‌ها نیست!

  • اکسچنج یه کیک خوشمزه برای سارقین هستش و ممکنه سارق خود اکسچنج یا کابرانش رو مورد هدف قرار بده
  • اکسچنج میتونه از سرمایه شما سواستفاده کنه باری مقاصد شخصی (مثل رای دادن به خودش مثلا تو جریان EOS)
  • اکسچنج میتونه سرمایه شما رو گم کنه. سوءمدیریت کنه (mt gox و خیلی مورد دیگه)
  • اکسچنج میتونه طبق دستورهای قضایی حوزه‌های مختلف کشورهایی که توش کار میکنن و مردم قطعا از قوانینش خبر ندارن، حساب کسی رو ببنده (نه فقط ایرانی ها)
  • اکسچنج میتونه پول شما رو به سادگی و بدون ارائه توضیحات مصادره کنه چون مثلا لکه‌دار هستش.
  • اکسچنج میتونه خودش فلش‌کرش بسازه، پامپ کنه، دامپ‌ کنه و سرمایه شما رو از چنگتون دربیاره (بیتفینکس، جی‌دکس، بیتترکس)

دلایل دیگه ای که به ذهنتون خطور میکنه رو خودتون اینجا بنویسید.

اوپن‌دایم

(کیف‌پول سخت‌افزاری بیتکوین)

با یکی از دوستان درمورد کیف‌پول‌های سخت افزاری توییت میزدیم که عکس از کیف پولش لدجر نانو‌اس‌ش گذاشت که خیلی نو و دست نخورده بود. ازش پرسیدم که “این چرا اینقدر نو‌ ه مگه استفاده نمیکنی ازش؟” و ایشون جواب داد “تراکنشای #بیتکوین که فیزیکی نیستن” :))))

و تصمیم گرفتم که اوپن‌دایم رو به دوستان معرفی کنم که باهاش میشه تراکنش فیزیکی بیتکوین انجام داد. (توضیحات به شکل سوال، جواب)

اوپن‌دایم یه والت سخت‌افزایه که تنها راه خارج کردن پول ازش با فشار دادن و جدا کردن یه قسمت از سخت افزارش ممکن میشه. این یعنی اگر اون قسمت جدا نشده باشه میشه اینو راحت بدی به کسی دیگه و اون مطمئن باشه که تو دیگه اون پول رو نداری. عملا شبیه اسکناس بیتکوینه و میتونی حتی با پست بفرستی.

– آیا پسورد داره. یا وقتی مثل اسکناس گم شد نفری که پیدا کرده می تونه حالشو ببره. بعد اگه بدیش به من، من می‌تونم افزایش بدم موجودیشو یا کم کنم یا نه؟

نه پسوورد نداره، و نمیتونی ازش چیزی بفرستی ولی چون آدرسش رو میدونی چیه میتونی بهش بیتکوین بزنی و موجودیش رو افزایش بدی. حالا اگه بخوای یه زمانی تراکنش انجام بدی و ازش خارج کنی باید با یه پونز تو اون سوراخ رو فشار بدی بعدش یه قطعه ای ازش میشکنه جدا میشه. اونوقت میتونی پرایوت کی رو تو فایل تکست خارج کنی ازش و موجودی رو جای دیگه بفرستی.

ولی استفاده‌هایی که ازش میشه اینه:

  • دستگاهی برای تولید امن و آفلاین پرایوت کی و ساخت کیف پول کاغذی (که بعدش اونوقت قطعه غیرامن میشه و میندازنش دور معمولا! چون اگه دست کسی بیفته پرایوت کی رو میفهمه)
  • اسکناس بیتکوینی (که قطعا مطمئن هستی کسی پرایوت‌کی‌ش رو نداره و وقتی دیوایس رو از کسی دریافت کردی میدونی که شخص دیگه‌ای اونو نداره

پس:

۱. اگه گم کنی هرکی پیداش کنه مال اون میشه بیتکوینا (اگه هم یابنده بخواد دیوایس رو پونز میزنه و پرایوت‌کی رو خارج میکنه از دیوایس)

۲. میتونی بهش اضافه کنی ولی نمیتونی ازش کم کنی.. (باز مگر پونز بزنی و پرایوت‌کی‌ش رو دربیاری)

۳. اینکه میشه فهمید پرایوت‌کی دست کسی نیست نکته‌ی مهمشه که کاربردهاش رو تعیین میکنه.

– حالا چرا این ریختی‌ه؟

دلیل اینکه ریخت و قیافه‌ش هم اونطوری لخت و بدون قاب هستش برای اینه که اگر کسی سعی کرده باشه دستکاریش کنه تابلو بشه و زود بفهمی (مثل اسکناسی که گوشه‌ش رفته باشه)

– با USB به کامپیوتر وصل میشه؟ یا شرکت سازنده از قبل کلیدها رو داخلش تعبیه کرده؟ باید به شرکت سازنده‌ش اعتماد کنیم آیا؟

خودش ‌USBه مثل فلشه… و برای انتروپی اولیه یه بار به کامپیوتر وصلش میکنی بعد دیوایس بهت میگه که یه سری عکس/فایل بهم بده که از اونا (به علاوه یه سری موارد دیگه انتروپی ایجاد کنم. (توصیه میشه عکسایی که خودتون گرفتین و تو اینترنت نذاشتین رو بهش بدین)

– پس آیا برای هر دیوایسی یه ورودی متفاوت تعبیه شده؟ میدونی چرا میگم؟ چون که اگه یه دیوایس دیگه بیارم و همون عکس (یا هر ورودیی که قبلا دادم) رو دوباره بدم پس کلیدش همون قبلی‌ها میشه دیگه؟ (اینطوری دیگه مثل اسکناس نمیشه که؟؟

یافته‌های تیم امنیت لدجر در رابطه ترزور

این مطالب در رابطه با ارائه چارلز گیلمه عضو ارشد تیم امنیت لدجر در روز ۱۰ مارچ ۲۰۱۹ می‌باشد

قبل از شروع این مطلب باید یادآوری کنم که امنیت یه طیف هستش. هیچ وقت نمیشه قطعا گفت چیزی امن هست یا نیست! و هرچه شما نکات امنیتی رو بهتر رعایت کنید و به روزتر باشید عنوان‌ها و شهرت اشخاص و پروژه‌ها اهمیت کمتری پیدا میکنند. منظور این هست که شما یه کیف‌پول معمولی بیتکوینی رو درست استفاده کنید و نکات امنیتی رو رعایت کنید از اینکه کسی گفته باشه ترزور یا لدجر مشکل امنیتی داره مهمتر هستش اما با این حال به روز بودن در رابطه با ابزارهایی که استفاده می‌کنید هم اهمیت بسیاری دارد.

در این ارائه ارشد تیم لدجر به نکاتی اشاره میکنه و بعد از اون ۴ نوع رویکرد رو میگن که طبق‌ اون‌ها امنیت ترزور و کلون‌های اون مثل کیپ‌کی و بی‌والت و غیره رو بررسی میکنن و یافته‌هاشون رو ارائه میکنن.

اوپن‌سورس بودن یا نبودن کیف‌پول‌های سخت‌افزاری!

کاملا اوپن‌سورس بودن کیف‌پول سخت افزاری دو تا مزیت عمده داره:

اول) اینکه یه پروژه اوپن‌سورس رو میشه بررسی کرد و هرکسی از هرجای دنیا میتونه چک کنه که امن هستش یا نه! درصورتی هم که مشکل امنیتیی وجود داشته باشه (مثل همین الان که تیم لدجر تونسته بررسی کنه) خرد جمعی متخصصان از هرجای دنیا به کمک میاد و مسائل امنیتی سریعتر پیدا و حل میشن.

دوم)‌ اوپن‌سورس بودن یه کیف‌پول سخت‌افزاری به این معنی هستش که شما (اگر تواناییش رو داشته باشید) می‌تونید خودتون سخت‌افزار خودتون رو بسازید و اونوقت نرم‌افزار اون کیف‌پول رو نصب کنید

اما اوپن‌سورس بودن یه مساله‌ای رو ایجاد میکنه توی بحث کیف‌پول‌های سخت‌افزاری اونم اینه که مثل کاری که لدجر میکنه ترزور نمیتونه از تراشه‌های امن و تراشه‌های General Purpose MCU استفاده کنه.

در ادامه چهار رویکردی که تیم امنیت لدجر تونستن حفره‌های امنیتی توی ترزور پیدا کنن رو میبینید:

۱. حمله‌های Supply Chain

تو این نوع حمله‌ها کسی میتونه کیف‌پول رو دست کاری بکنه یا که یه در پشتی رو توی کیف‌پولی که بدست شما میرسه گذاشته باشه! به چند شکل میشه این کار رو انجام داد:‌

PreSeeding – Seed Exfiltration – Perform Sig – Address Swpping

تیم لدجر با تمیز باز کردن بسته‌بندی ترزور داخل بسته رو درآوردن و نرم‌افزار اون رو دستکاری کردن و دوباره داخل بسته‌بندی گذاشتن

اگه این بسته ترزور دست شما می‌رسید به هیچ‌وجه تفاوتش رو نمیتونستید با یه بسته دست‌نخورده بفهمید

تیم لدجر عمل PreSeeding رو توی ترزور دستکاری شده انجام داد. به این شکل که ۲۴ کلمه سید شما توسط کسی که دستکاری کرده از قبل تعیین شده بودن و این شخص میتونه هروقت دوست داشت موجودی شما رو خالی کنه!

خب حمله‌های Supply Chain به طوری هستن که همه میگن اگه شما از یه واسطه کیف‌پولتون رو تهیه می‌کنید اونوقت احتمال وقوع داره! اما !!! تیم لدجر میگه این حمله‌ها همیشه امکانشون هست! چطوری؟

فکرش رو بکنید ضیاء ۱۰۰ تا ترزور سفارش میده از خود ترزور هم میخره اینا رو! بعد بسته‌بندی همه رو تمیز باز میکنه دستکاریشون میکنه و همه رو تمیز دوباره بسته‌بندی میکنه و مرجوع میکنه به شرکت ترزور. اونوقت شرکت ترزور این ترزورهای دستکاری شده رو دوباره میفرسته تو بازار و شما حتی اگه از خود ترزور خریداری کرده باشید احتمال اینکه ترزور شما دستکاری شده باشه هستش! ترفند باحالیه :))

تیم لدجر این مشکل رو به ترزور توی نوامبر ۲۰۱۸ اطلاع رسانی کرده اما این مشکل هنوز برطرف نشده و ترزور جوابی نداده!

۲. حمله‌های Software Crappy Attacks

توی این نوع حمله نرم‌افزار ترزور هدف قرار داده شده و دوتا مشکل توش پیدا شده که از ضعف امنیتی بالایی نداشتن و به همین دلیل توضیحات زیادی درموردش نمیدم! به ترزور اطلاع رسانی شد و سریع حل شدن.

۳. حمله‌های کانال جانبی یا همون Side Channel Attacks

این نوع حمله‌ها خیلی جالب و علاقه‌مندی خیلی از متخصصان امنیت توی بحث‌های رمزنگاری هستن. تو این نوع حمله‌ها با شبیه‌سازی و تکرار و ساخت الگوریتم سعی بر پیدا کردن کلید‌های رمزنگاری صورت میگیره. یه حمله مشابه قبلا چند سال پیش روی ترزور با استفاده از اوسیلاتور صورت گرفته بود که اینجا میتونید ببینید.

اینجا تیم لدجر با استفاده از الگوریتم‌های یادگیری ماشینی اثر دیجیتالی ترزور رو بررسی میکنن و بعد از اینکه خوراک زیادی به این الگوریتم میدن الگوریتم میتونه از این به بعد اثر دیجیتالی رو با عددی که کاربر میزنه تطبیق بده. یعنی به این شکل که الگوریتم میدونه که سیگنال‌هایی که ترزور میفرسته کدوم عدد هستن!

این الگوریتم با میانگین ۵ بار تلاش میتونه رمز پین ترزور شما رو پیدا بکنه و از اونجایی که توی ترزور تعداد دفعات وارد کردن پین نسبتا زیاد هستن، یه حمله کاملا موفق هستش 🙂

این حمله گزارش به ترزور گزارش شده و الان امکان حدس‌زدن پین سخت‌تر شده!

تیم لدجر یه حمله جانبی دیگه رو هم بررسی کرده!

حمله به تابع SCAlar

این تابع برای فرآیندهای رمزنگاری و تولید کلیدها توی ترزور استفاده میشه. یه اتفاق جالب این بود که این وقتی تیم لدجر پیاده‌سازی این تابع رو بررسی می‌کرد یه کامنت توی کد دیدن که نوشته بود “این تابع در مقابل حمله‌های جانبی مصون است!”

کاری که تیم لدجر انجام داد این بود که یه عدد بزرگ SCAlar رو ورودی تابع میداد و با همون الگوریتم یادگیری ماشینی تونستن اعداد رو شبیه‌سازی کنن.

این یعنی که اگه عدد SCAlar رو با این روش محاسبه کنن اونوقت به راحتی میتونن پرایوت‌کی رو تولید کنند! این مشکل امنیتی بسیار جدی هستش!

تیم لدجر اینو به ترزور گزارش داد و ترزور واکنشی نشون نداده و این مشکل همچنان وجود داره! ولی انصافا حداقل اون کامنت که میگه من امن هستم رو باید بردارن دیگه :))

۴. حمله‌های Surprise Concluding

این نوع حمله‌ها با تزریق خطا به ترزور میتونن باعث بشن که از فرآیند پین کد گذشت و یا حتی دیگه پین‌کد غیرفعال بشه. این حمله‌ها رو چند ماه پیش تیم Wallet.Fail هم انجام دادن که من قبلا اینجا درموردش یه رشته‌توییت نوشتم.

تیم لدجر این حمله رو نه فقط روی ترزور بلکه بر روی چندتا کلون دیگه از ترزور که نرم‌افزار ترزور رو استفاده میکنن مثل کیپ‌کی و بی‌والت هم امتحان کرده و دیده که جواب میده! با گلیچ کردن تونستن ۲۴ کلمه سید رو استخراج کنن از این کیف‌پول‌ها. این مشکل فعلا پچ شده و رفع شده اما احتمال انجام شدنش باز وجود داره!

یه کار دیگه که لدجر انجام داد و تیم‌های دیگه تو این نوع حمله انجام نداده بودن این بود که روی مدل T ترزور که همون مدل با صفحه تاچ هستش هم انجامش دادن! این روش روی اون مدل هم عملی بود اما یه فرقی داره! فرقش اینه که نمیشه این مشکل رو توی مدل T رفع کرد و عملا این ولت کاملا مشکل امنیتی داره! این ولت باید به شکل کامل تغییر پیدا کنه و از اونجا که راه حلی برای درست کردنش وجود نداره تیم لدجر تصمیم گرفت که نحوه انجام شدن این مشکل رو به تیم ترزور اعلام نکنه! تنها راهکاری که تیم لدجر تونست مطرح کنه اینه که باید از یه کلمه اضافه یا همون Passphrase برای ۲۴ کلمه‌ سید خودتون استفاده کنید که به اندازه یه سید کامل امنیت داشته باشه. یعنی یه کلمه‌ رمز اضافه که حداقل ۳۶ کاراکتر باشه.

مرور همه حمله ها رو توی این جدول میبینید

آخرین حرفای تیم لدجر توی ارائه این بودن که:

  • ما می‌خوایم همه کاربران امن باشن! حتی کاربران ترزور که شرکت رقیب ما هستش
  • یادتون باشه که اوپن سورس بودن الزاما معادل امنیت بیشتر نیستش!

اینو اضافه کنم که این نوع حمله‌ها اغلب حمله‌هایی پرهزینه هستن و احتمال اینکه شما هدف قرار بگیرید به ارزشی که هکر از حمله‌کردن ممکنه بدست بیاره بستگی داره! این نکته خوبیه چرا که به شما هم یادآوری میکنه که وقتی ارزش کوین‌های شما زیاد باشه اونوقت باید حواس‌‌جمع‌تر و مطلع‌تر باشید و حتی هزینه‌ بیشتری کنید تا امن باقی بمونید. رویکردهای امنیتی بهتری رو اتخاذ کنید مثلا از چند امضایی همراه با ترزور و لدجر هر دو استفاده کنید یا که سرمایه‌تون رو تقسیم کنید و همه تخم‌مرغ‌‌ها رو تو یه سبد نگه‌ ندارید تا یه نقطه شکست مرکزی ایجاد نکنید!

– پایان
— بروزرسانی– لینک پاسخ شرکت ترزور به این حفره‌های امنیتی