OneKey ارائهدهنده کیف پول سختافزار Crypto میگوید که قبلاً یک آسیبپذیری در سیستمافزار خود را برطرف کرده است که به یکی از کیف پولهای سختافزاری آن اجازه میدهد در یک ثانیه هک شود.
یک ویدیو در یوتیوب + نوشته شده در در 10 فوریه توسط استارتآپ امنیت سایبری Unciphered نشان داد که راهی برای بهرهبرداری از یک «آسیبپذیری بحرانی عظیم» پیدا کردهاند که به آنها اجازه میدهد تا OneKey Mini را «باز کردن» کنند.
به گفته Eric Michaud، یکی از شرکای Unciphered، با جدا کردن دستگاه و درج کدگذاری، امکان بازگشت OneKey Mini به حالت کارخانه و دور زدن پین امنیتی وجود داشت که به مهاجم بالقوه اجازه میداد عبارت یادگاری مورد استفاده برای بازیابی یک مورد را حذف کند. کیف پول.
شما CPU و عنصر امن را دارید. عنصر امن جایی است که کلیدهای رمزنگاری خود را نگه می دارید. در حال حاضر، به طور معمول، ارتباطات بین CPU، جایی که پردازش انجام میشود، و عنصر امن رمزگذاری میشوند.
"خب معلوم است که برای انجام این کار در این مورد مهندسی نشده است. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را رصد می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند.
ما این کار را انجام دادیم که سپس به عنصر امن میگوید در حالت کارخانه است و میتوانیم حافظههای شما را که پول شما در کریپتو است، خارج کنیم.»
با این حال، در بیانیه 10 فوریه، OneKey گفت که قبلاً این کار را کرده است خطاب نقص امنیتی شناسایی شده توسط Unciphered، با اشاره به اینکه تیم سختافزار آن پچ امنیتی را «اوایل سال جاری» بدون اینکه «کسی تحت تأثیر قرار بگیرد» بهروزرسانی کرده است و «همه آسیبپذیریهای فاش شده برطرف شده یا در حال رفع شدن هستند».
پاسخ ما به گزارشهای اخیر تعمیرات امنیتی https://t.co/Dp9nNp1D0U
— کیف پول منبع باز OneKey (@OneKeyHQ) فوریه 10، 2023
گفته میشود، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی افشا شده توسط Unciphered بر کاربران OneKey تأثیری نخواهد گذاشت.»
این شرکت همچنین تاکید کرد که در حالی که این آسیبپذیری نگرانکننده بود، بردار حمله شناساییشده توسط Unciphered نمیتواند از راه دور استفاده شود و برای اینکه امکان اجرای آن وجود داشته باشد، نیاز به جداسازی دستگاه و دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه دارد.
به گفته OneKey، طی مکاتباتی با Unciphered، فاش شد که کیف پول های دیگری نیز وجود داشته است مشخص شد که مشکلات مشابهی دارد.
OneKey گفت: «ما همچنین جوایز Unciphered را پرداخت کردیم تا از کمکهایشان به امنیت OneKey تشکر کنیم.
مرتبط: "تا امروز مرا تعقیب می کند" - پروژه کریپتو به قیمت 4 میلیون دلار در لابی هتل هک شد
OneKey در پست وبلاگ خود گفته است که در حال حاضر برای تضمین امنیت کاربران خود، از جمله محافظت از آنها از حملات زنجیره تامین - زمانی که یک هکر یک کیف پول واقعی را با کیفی که توسط آنها کنترل می شود جایگزین می کند.
اقدامات OneKey شامل بسته بندی ضد دستکاری برای تحویل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای اطمینان از مدیریت امنیتی زنجیره تامین دقیق است.
در آینده، آنها امیدوارند که احراز هویت داخلی را پیاده سازی کنند و کیف پول های سخت افزاری جدیدتر را با اجزای امنیتی سطح بالاتر ارتقا دهند.
OneKey نوشت که اصلی هدف کیف پول های سخت افزاری همیشه برای محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است، اما متاسفانه، هیچ چیز نمی تواند 100٪ ایمن باشد.
وقتی به کل فرآیند تولید کیف پول سختافزاری، از کریستالهای سیلیکون گرفته تا کد تراشه، از سیستمافزار گرفته تا نرمافزار نگاه میکنیم، میتوان گفت که با پول، زمان و منابع کافی، میتوان از هر مانع سختافزاری، حتی اگر یک سلاح هستهای باشد، عبور کرد. سیستم کنترل."
منبع: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-its-hardware-wallet-hacked-in-1-second