فن آوری

OneKey آسیب‌پذیری را برطرف می‌کند که به کیف پول سخت‌افزار اجازه هک می‌دهد

02/14/2023
اخبار بیت کوین اتریوم

OneKey، شرکتی که کیف پول‌های سخت‌افزاری رمزنگاری را ارائه می‌کند، گفته است که قبلاً نقصی را در سیستم عامل خود برطرف کرده است که باعث می‌شود یکی از کیف پول‌های سخت‌افزاری آن در کمتر از یک ثانیه به خطر بیفتد.

Unciphered، یک شرکت در زمینه امنیت سایبری، در ویدئویی که در 10 فوریه در یوتیوب آپلود شد، گفت که ابزاری برای "گشودن" OneKey Mini با استفاده از یک "نقص بزرگ بزرگ" و سوء استفاده از آن کشف کرده است.

به گفته اریک مایچاد، یکی از شرکای Unciphered، این امکان وجود داشت که OneKey Mini را به حالت کارخانه بازگرداند و با جدا کردن دستگاه و درج کدگذاری، پین امنیتی را دور بزند. این به یک مهاجم بالقوه اجازه می دهد تا عبارت یادگاری را که برای بازیابی کیف پول استفاده می شود حذف کند. این با بازگرداندن دستگاه به حالت کارخانه امکان پذیر شد.

«شما واحد پردازش مرکزی و همچنین عنصر امنیتی را دارید. کلیدهای رمزنگاری شما همیشه در عنصر امن ذخیره می شوند. Michaud خاطرنشان کرد که در یک موقعیت معمولی، اتصالات بین واحد پردازش مرکزی (CPU) که ​​در آن پردازش انجام می‌شود، و عنصر امن رمزگذاری می‌شوند.

تصویر

«خب، همانطور که معلوم است، در این نمونه خاص، برای انجام این کار ساخته نشده است. وی گفت: "کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را رصد می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند." Unciphered روی کاربران OneKey تأثیر نخواهد گذاشت. 

این شرکت در ادامه تاکید کرد که علیرغم اینکه این آسیب‌پذیری نگران‌کننده است، بردار حمله‌ای که توسط Unciphered کشف شده است را نمی‌توان از راه دور استفاده کرد. در عوض، برای اینکه امکان اجرا وجود داشته باشد، «جداسازی دستگاه و دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه» ضروری است.

به گفته OneKey، پس از گفتگو با Unciphered، فاش شد که سایر کیف پول‌ها نیز مشکلات مشابهی دارند. این زمانی فاش شد که مشخص شد کیف پول های دیگر نیز همین مشکل را دارند.

OneKey گفت که آنها Unciphered را با جوایز به عنوان راهی برای ابراز قدردانی از مشارکت آنها در امنیت شرکت جبران کرده اند.

OneKey در یک پست وبلاگ گفته است که قبلاً اقدامات احتیاطی قابل توجهی را برای حفظ ایمنی مشتریان خود انجام داده است. این اقدامات احتیاطی شامل محافظت از مشتریان در برابر حملات زنجیره تامین است که زمانی اتفاق می‌افتد که یک هکر یک کیف پول واقعی را با کیفی که تحت کنترل آنها است جایگزین می‌کند.

بسته بندی ضد دستکاری برای محموله ها یکی از گام های برداشته شده توسط OneKey، همراه با استفاده از ارائه دهندگان خدمات زنجیره تامین خود اپل به منظور تضمین مدیریت امنیتی زنجیره تامین است.

آنها آرزو دارند تا در آینده ای نه چندان دور احراز هویت داخلی را اضافه کنند و کیف پول های سخت افزاری اخیر را با اجزای امنیتی سطح بالاتر به روز کنند.

با توجه به آنچه توسط OneKey گفته شد، هدف اصلی کیف پول های سخت افزاری همیشه محافظت از دارایی های مالی کاربران در برابر حملات سایبری، ویروس های رایانه ای و سایر تهدیدات بالقوه بوده است. با این حال، متأسفانه، هیچ چیز نمی تواند کاملاً امن باشد.

وقتی به کل فرآیند تولید کیف پول‌های سخت‌افزاری، از کریستال‌های سیلیکون گرفته تا کد تراشه‌ها، از میان‌افزار تا نرمافزار، به جرات می توان گفت که هر مانع سخت افزاری را می توان با پول، زمان و منابع کافی شکست. حتی اگر این یک سیستم کنترل سلاح هسته ای باشد. وقتی به کل فرآیند تولید کیف پول‌های سخت‌افزاری، از کریستال‌های سیلیکون گرفته تا کد تراشه، از سیستم‌افزار تا نرم‌افزار نگاه می‌کنیم،

منبع: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked