OneKey ارائهدهنده کیف پول سختافزار Crypto میگوید که قبلاً یک آسیبپذیری در سیستمافزار خود را برطرف کرده است که به یکی از کیف پولهای سختافزاری آن اجازه میدهد در یک ثانیه هک شود.
در 10 فوریه، یک ویدیو در یوتیوب ارسال شده توسط استارتآپ امنیت سایبری Unciphered نشان داد که راهی برای بهرهبرداری از یک «آسیبپذیری حیاتی عظیم» به منظور «شک باز کردن» یک OneKey Mini پیدا کردهاند.
به گفته اریک مایچاد، یکی از شرکای Unciphered، با جدا کردن دستگاه و درج کدگذاری، امکان بازگشت OneKey Mini به حالت کارخانه و دور زدن پین امنیتی وجود داشت که به مهاجم بالقوه اجازه میداد عبارت یادگاری مورد استفاده برای بازیابی اطلاعات را حذف کند. کیف پول.
Michaud توضیح داد: “شما CPU و عنصر امن را دارید. عنصر امن جایی است که کلیدهای رمزنگاری خود را نگه می دارید. اکنون، به طور معمول، ارتباطات بین CPU، جایی که پردازش انجام می شود، و عنصر امن رمزگذاری می شود.”
وی گفت: “خب معلوم است که در این مورد مهندسی نشده است. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را نظارت می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند.”
ما این کار را انجام دادیم که سپس به عنصر امن میگوید در حالت کارخانه است و میتوانیم حافظه شما را که پول شما در رمزنگاری است، خارج کنیم.»
با این حال، در بیانیه 10 فوریه، OneKey گفت که قبلاً این کار را کرده است خطاب نقص امنیتی شناسایی شده توسط Unciphered، با اشاره به اینکه تیم سختافزار آن پچ امنیتی را «اوایل سال جاری» بدون اینکه «کسی تحتتاثیر قرار گیرد» بهروزرسانی کرده است، و «همه آسیبپذیریهای فاش شده برطرف شده یا در حال رفع شدن هستند».
پاسخ ما به گزارشهای اخیر تعمیرات امنیتی https://t.co/Dp9nNp1D0U
— کیف پول منبع باز OneKey (@OneKeyHQ) 10 فوریه 2023
گفته میشود، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی افشا شده توسط Unciphered بر کاربران OneKey تأثیری نخواهد گذاشت.»
این شرکت همچنین تاکید کرد که در حالی که این آسیبپذیری نگرانکننده بود، بردار حمله شناساییشده توسط Unciphered از راه دور قابل دستیابی نیست و نیاز به «جدا کردن دستگاه و دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه دارد تا امکان اجرا وجود داشته باشد».
به گفته OneKey، طی مکاتباتی با Unciphered، فاش شد که کیف پول های دیگری نیز وجود داشته است مشخص شد که مشکلات مشابهی دارد.
OneKey گفت: «ما همچنین جوایز Unciphered را پرداخت کردیم تا از کمکهایشان به امنیت OneKey تشکر کنیم.
مربوط: “تا امروز مرا تعقیب می کند” – پروژه کریپتو به قیمت 4 میلیون دلار در لابی هتل هک شد
OneKey در پست وبلاگ خود گفته است که در حال حاضر برای تضمین امنیت کاربران خود، از جمله محافظت از آنها از حملات زنجیره تامین – هنگامی که یک هکر یک کیف پول واقعی را با کیفی که توسط آنها کنترل می شود جایگزین می کند، منطقه ای خاص از تمرکز.
اقدامات OneKey شامل بسته بندی ضد دستکاری برای تحویل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای اطمینان از مدیریت امنیتی زنجیره تامین دقیق است.
در آینده، آنها امیدوارند که احراز هویت داخلی را پیاده سازی کنند و کیف پول های سخت افزاری جدیدتر را با اجزای امنیتی سطح بالاتر ارتقا دهند.
OneKey اشاره کرد که اصلی هدف کیف پول های سخت افزاری همیشه برای محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است، اما اذعان داشت که متأسفانه، هیچ چیز نمی تواند 100٪ ایمن باشد.
زمانی که به کل فرآیند تولید کیف پول سخت افزاری، از کریستال های سیلیکون گرفته تا کد تراشه، از سیستم عامل گرفته تا نرم افزار نگاه می کنیم، می توان گفت که با پول، زمان و منابع کافی، می توان از هر مانع سخت افزاری، حتی اگر یک سلاح هسته ای باشد، عبور کرد. سیستم کنترل.”