OneKey می گوید مشکلی را که در آن کیف پول های سخت افزاری در ۱ ثانیه هک شده بود، برطرف کرده است.

به گزارش پایگاه خبری ارز دیجیتال موبو ارز،

Unciphered ویدیویی را منتشر کرده است که در آن “آسیب پذیری عظیم و حیاتی” OneKey Mini را نشان می دهد. سازنده اشاره می کند که وصله شده است و در حال حاضر برای ایمن سازی بیشتر کیف پول کار می کند.

OneKey ارائه‌دهنده کیف پول سخت‌افزار Crypto می‌گوید که قبلاً یک آسیب‌پذیری سیستم‌افزاری را برطرف کرده است که می‌تواند به یکی از کیف پول‌های سخت‌افزاری آن در کمتر از یک ثانیه هک شود.

در ۱۰ فوریه، ویدیویی که توسط استارت‌آپ امنیت سایبری Unciphered در یوتیوب منتشر شد، نشان می‌دهد که آنها راهی برای سوء استفاده از یک «آسیب‌پذیری حیاتی» برای «شکاف باز کردن» OneKey Mini پیدا کرده‌اند.

به گفته شریک Unciphered Eric Michaud، آنها توانستند OneKey Mini را به حالت کارخانه برگردانند و با جدا کردن دستگاه و وارد کردن کدگذاری، پین امنیتی را دور بزنند. کیف پول.

Michaud توضیح داد: “یک CPU و یک عنصر امن وجود دارد. عنصر امن جایی است که شما کلیدهای رمزنگاری را ذخیره می کنید. امروزه ارتباطات معمولاً بین CPU و عنصر امن که در آن پردازش انجام می شود رمزگذاری می شود.”

وی افزود: در این صورت معلوم می شود که برای این کار طراحی نشده است، بنابراین می توانید ابزاری را در وسط قرار دهید که ارتباطات را نظارت و رهگیری می کند و دستورات خود را تزریق می کند.

“ما به Secure Element گفتیم که در حالت کارخانه هستیم تا بتوانیم یادداشت را که پول رمزگذاری شده است، بازیابی کنیم.”

با این حال، OneKey در بیانیه‌ای در ۱۰ فوریه گفت که قبلاً نقص‌های امنیتی شناسایی شده توسط Unciphered را برطرف کرده است و گفت که تیم سخت‌افزار آن وصله‌های امنیتی خود را «اوایل امسال» به‌روزرسانی کرده است، اما «هیچ‌کس تحت تأثیر قرار نگرفت» و «همه آسیب‌پذیری‌های فاش شده است. ” ثابت شده یا در حال تعمیر است. ”

پاسخ به گزارش تعمیرات امنیتی اخیر https://t.co/Dp9nNp1D0U

— کیف پول منبع باز OneKey (@OneKeyHQ) ۱۰ فوریه ۲۰۲۳

با این حال، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی افشا شده توسط Unciphered بر کاربران OneKey تأثیری نخواهد گذاشت.

این شرکت همچنین خاطرنشان می کند که در حالی که آسیب پذیری یک نگرانی است، بردارهای حمله شناسایی شده توسط Unciphered را نمی توان از راه دور بدست آورد و “می توان آنها را جدا کرد و به صورت فیزیکی از طریق یک دستگاه FPGA اختصاصی در آزمایشگاه به آنها دسترسی پیدا کرد و اجرا کرد. من تاکید کردم که لازم است

OneKey در تعامل خود با Unciphered نشان داد که سایر کیف پول ها نیز مشکلات مشابهی دارند.

OneKey گفت: “ما همچنین برای تشکر از OneKey برای کمک هایشان در امنیت، یک Unciphered Bounty پرداخت کردیم.”

مربوط: “تا به امروز مرا آزار می دهد” – پروژه کریپتو در لابی هتل به مبلغ ۴ میلیون دلار هک شد

OneKey در پست وبلاگ خود اشاره می کند که قبلاً برای تضمین امنیت کاربران خود تلاش زیادی کرده است، از جمله محافظت در برابر حملات زنجیره تامین (که در آن هکرها کیف پول های واقعی را با کیف های کنترل شده توسط هکرها جایگزین می کنند).

اقدامات OneKey شامل بسته بندی ضد دستکاری برای حمل و نقل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای اطمینان از کنترل های امنیتی دقیق زنجیره تامین است.

در آینده، ما امیدواریم که احراز هویت داخلی را پیاده سازی کنیم و کیف پول های سخت افزاری جدید خود را با اجزای امنیتی سطح بالاتر ارتقا دهیم.

OneKey بیان می کند که هدف اصلی هر کیف پول سخت افزاری همیشه محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است، اما متأسفانه، هیچ چیز ۱۰۰٪ ایمن نیست. من چیزی را قبول ندارم.

“اگر به کل فرآیند تولید کیف پول سخت افزاری، از کریستال سیلیکون گرفته تا کد تراشه، سیستم عامل تا نرم افزار، حتی اگر یک سلاح هسته ای باشد، با توجه به پول، زمان و منابع کافی نگاه کنید، می توانید سد سخت افزاری را بشکنید. اغراق آمیز نیست. گفتن اینکه می توان سیستم را کنترل کرد.»

نویسنده: Stephen Katte