دوتا از بزرگترین سازندههای کیف پول سخت افزاری ، لجر (Ledger) و ترزور (Trezor) مناظرهای در مورد آسیب پذیری دستگاههای ترزور که سازنده لجر به آن ادعا کرده بود داشتند. سازنده لجر بیان میکند که چندین بار به ترزور برای حل این مشکلات پیش آمده فرصت دادیم و ترزور پاسخ داده است که هیچ یک از این حملات کارساز نیستند. و بزرگترین برنده در نهایت کاربران هستند که از این امنیت افزایش یافته سود میبرند.
مشکل از آنجایی شروع شد که لجر سازنده کیف پول سخت افزاری چند وقت پیش اعلام کرد که تیم امنیتیشان، از آسیب پذیریهای موجود در دستگاههای ترزور که رقیب اصلیشان محسوب میشود، پرده برداشته است. در مطالعهای که در این رابطه انجام شده، آمده است که این آسیبپذیریها در اتک لب (آزمایشگاه امنیتی) پیدا شده است. اتک لب بخشی از شرکت لجر است که در آن به دستگاههای خود و همچنین رقبایشان نفوذ میکنند تا عملکرد آنها را از نظر امنیتی بهبود بخشند.
آنچه که گزارش شده این است که از میان دستگاههایی که مورد حمله قرار گرفته بودند، یکی از آنها کیف پول سخت افزاری ترزور است. نویسندگان تیم لجر در یک پست وبلاگ در مورد این داستان اینگونه مینویسند که، تقریبا چهار ماه قبل ما با ترزور (Trezor) تماس گرفتیم تا درباره ۵ آسیب پذیری که در اتک لب یعنی همان آزمایشگاه امنیتیشان کشف شده است به آنها بگوییم و طبق قوانین به ترزور فرصت داده شد تا این آسیب پذیریها را شناسایی و برطرف کند. اما برخلاف آنچه تصور میشد، ترزور به آنها پاسخی نداده است و حتی زمان این مهلت هم به اتمام رسیده است.
در نهایت سازنده ترزور به این ادعاها چنین پاسخ میدهد این حقیقت دارد که لجر گزارش کرده و با ما در طول این افشا سازی در ارتباط بوده است. اما برخی از واقعیتها متفاوت نشان داده شدند که همین خود موجب تفسیر اشتباه در مورد آسیب پذیریها میشود. از همین رو، ما میخواهیم که این ادعاها را اثبات و شفاف سازی کنیم و همچنین به آنها پاسخ دهیم و در همین راستا بیانیهای نوشتند. در این بیانیه رسمی، بیان کردند که هیچکدام از این حملهها از راه دور قابل استفاده نیستند، همه مسیرهای حمله نشان داده شده مستلزم دسترسی فیزیکی به دستگاه، تجهیزات تخصصی، زمان و افراد متخصص است. با وجود رمزهای عبور قوی و اصول امنیتی پایه حتی حملات فیزیکی ارائه شده توسط لجر هم نمیتوانند بر کاربران ترزور تاثیر بگذارند.
علاوه بر این، کاربران بر این باورند که ترزور با چنین پاسخی که بیان کرد ” برندگان واقعی، کاربران خودشان هستند” حتما پیروز میدان میشود.
ترزور هم چنین گفته است که کاربران نگران میتوانند رمز عبور امن (passphrase feature) را بر روی کیف پول سخت افزاری ترزور فعال کنند، اما به این نکته توجه داشته باشند که فراموش کردن عبارت عبور به معنای از دست دادن سرمایه خود میباشد.
محققان معتقد بودند که نقطه ضعف بالقوه ای شناسایی کرده اند اما گویا اینگونه نیست. هم چنین به نظر میرسد که لجر و ترزور در خصوص شناسایی آسیب پذیری ها از سایرین جلوتر میباشند.
لجر در سال ۲۰۱۷ بیش از یک میلیون کیف پول سخت افزاری فروخته است و با شراکت های جدید به پیشروی خود در این صنعت ادامه میدهد. ترزور نیز به توسعه کیف پول ادامه میدهد و به تازگی پشتیبانی از اتریوم را به کیف پول خود افزوده است.