Unciphered ویدیویی منتشر کرده است که در آن یک “آسیب پذیری حیاتی عظیم” در OneKey Mini نشان داده شده است. سازندگان اظهار داشتند که پچ ساخته شده است و اکنون در حال کار برای ایمن سازی بیشتر کیف پول است.
OneKey ارائهدهنده کیف پول سختافزار Crypto میگوید که قبلاً یک آسیبپذیری در سیستمافزار خود را برطرف کرده است که به یکی از کیف پولهای سختافزاری آن اجازه میدهد ظرف یک ثانیه هک شود.
در 10 فوریه، ویدیویی که توسط استارتآپ امنیت سایبری Unciphered در یوتیوب منتشر شد، نشان داد که آنها راهی برای سوء استفاده از یک «آسیبپذیری عظیم و حیاتی» برای «شکاف باز کردن» OneKey Mini پیدا کردهاند.
به گفته Eric Michaud، یکی از شرکای Unciphered، با جدا کردن دستگاه و اضافه کردن کدگذاری، امکان بازگشت OneKey Mini به “حالت کارخانه” و دور زدن پین امنیتی وجود داشت. کیف پول.
Michaud توضیح داد: “شما CPU و عنصر امن را دارید. عنصر امن جایی است که کلیدهای رمزنگاری خود را ذخیره می کنید. اکنون، به طور معمول، ارتباطات بین CPU که در آن پردازش انجام می شود و عنصر امن رمزگذاری می شود.”
او گفت: “خب، معلوم شد که در این مورد برای این کار طراحی نشده است. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را نظارت می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند.”
ما این کار را در جایی انجام دادیم که به آیتم ایمن میگوید در حالت کارخانه است و میتوانیم حافظههای شما را استخراج کنیم، که پول شما در کریپتو است.
با این حال، OneKey در 10 فوریه گفت که قبلاً آسیبپذیری شناسایی شده توسط Unciphered را برطرف کرده است، و تیم سختافزار وصله امنیتی را «اوایل امسال» «بدون اینکه کسی تحتتاثیر قرار گیرد» بهروزرسانی کرده و «همه آسیبپذیریهای فاش شده» برطرف شده است یا در حال رفع شدن هستند.”
پاسخ ما به گزارشهای اصلاحات امنیتی اخیر https://t.co/Dp9nNp1D0U
— کیف پول منبع باز OneKey (@OneKeyHQ) 10 فوریه 2023
با این حال، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی که توسط Unciphered در معرض دید قرار میگیرند، کاربران OneKey را تحت تأثیر قرار نمیدهند.»
این شرکت همچنین تاکید کرد که در حالی که این آسیبپذیری نگرانکننده است، بردار حمله شناساییشده توسط Unciphered از راه دور قابل دستیابی نیست و برای امکانپذیر شدن اجرای آن نیازمند «جداسازی دستگاه و دسترسی فیزیکی از طریق یک دستگاه FPGA اختصاصی در آزمایشگاه» است.
به گفته OneKey، در طی مکاتبات با Unciphered، مشخص شد که مشکلات مشابهی در کیف پول های دیگر وجود دارد.
OneKey گفت: “ما همچنین جوایز Unciphered را به آنها پرداخت کردیم تا از آنها برای کمک به امنیت OneKey تشکر کنیم.”
مرتبط با: “تا به امروز نمی توانم آن را از ذهنم خارج کنم” – پروژه کریپتو به قیمت 4 میلیون دلار در لابی هتل هک شد
OneKey در پست وبلاگ خود گفت که در حال حاضر تلاش های زیادی برای اطمینان از امنیت کاربرانش انجام شده است، از جمله محافظت از آنها در برابر حملات زنجیره تامین، زمانی که یک هکر یک کیف پول واقعی را با یک کیف پول کنترل شده توسط آنها، با یک منطقه خاص جایگزین کرد. تمرکز.
اقدامات OneKey شامل بسته بندی ضد دستکاری برای تحویل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای ارائه مدیریت امنیتی دقیق زنجیره تامین است.
در آینده، آنها امیدوارند که احراز هویت داخلی را پیاده سازی کنند و کیف پول های سخت افزاری جدیدتر را با اجزای امنیتی سطح بالاتر ارتقا دهند.
OneKey خاطرنشان کرد که هدف اصلی کیف پول های سخت افزاری همیشه محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است، اما اذعان کرد که متأسفانه هیچ چیز نمی تواند 100٪ ایمن باشد.
با نگاهی به کل فرآیند تولید کیف پول سخت افزاری، از کریستال های سیلیکون گرفته تا کد تراشه، سیستم عامل تا نرم افزار، می توان با اطمینان گفت که با پول، زمان و منابع کافی، می توان بر هر مانع سخت افزاری، حتی یک سیستم کنترل سلاح هسته ای، غلبه کرد.
نویسنده: Stephen Katte