OneKey می گوید نقصی را که باعث شده بود کیف پول سخت افزاری هک شود را در 1 ثانیه برطرف کرده است


Unciphered ویدیویی منتشر کرده است که در آن یک “آسیب پذیری حیاتی عظیم” در OneKey Mini نشان داده شده است. سازندگان اظهار داشتند که پچ ساخته شده است و اکنون در حال کار برای ایمن سازی بیشتر کیف پول است.

OneKey ارائه‌دهنده کیف پول سخت‌افزار Crypto می‌گوید که قبلاً یک آسیب‌پذیری در سیستم‌افزار خود را برطرف کرده است که به یکی از کیف پول‌های سخت‌افزاری آن اجازه می‌دهد ظرف یک ثانیه هک شود.

در 10 فوریه، ویدیویی که توسط استارت‌آپ امنیت سایبری Unciphered در یوتیوب منتشر شد، نشان داد که آنها راهی برای سوء استفاده از یک «آسیب‌پذیری عظیم و حیاتی» برای «شکاف باز کردن» OneKey Mini پیدا کرده‌اند.

به گفته Eric Michaud، یکی از شرکای Unciphered، با جدا کردن دستگاه و اضافه کردن کدگذاری، امکان بازگشت OneKey Mini به “حالت کارخانه” و دور زدن پین امنیتی وجود داشت. کیف پول.

Michaud توضیح داد: “شما CPU و عنصر امن را دارید. عنصر امن جایی است که کلیدهای رمزنگاری خود را ذخیره می کنید. اکنون، به طور معمول، ارتباطات بین CPU که در آن پردازش انجام می شود و عنصر امن رمزگذاری می شود.”

او گفت: “خب، معلوم شد که در این مورد برای این کار طراحی نشده است. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را نظارت می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند.”

ما این کار را در جایی انجام دادیم که به آیتم ایمن می‌گوید در حالت کارخانه است و می‌توانیم حافظه‌های شما را استخراج کنیم، که پول شما در کریپتو است.

با این حال، OneKey در 10 فوریه گفت که قبلاً آسیب‌پذیری شناسایی شده توسط Unciphered را برطرف کرده است، و تیم سخت‌افزار وصله امنیتی را «اوایل امسال» «بدون اینکه کسی تحت‌تاثیر قرار گیرد» به‌روزرسانی کرده و «همه آسیب‌پذیری‌های فاش شده» برطرف شده است یا در حال رفع شدن هستند.”

با این حال، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی که توسط Unciphered در معرض دید قرار می‌گیرند، کاربران OneKey را تحت تأثیر قرار نمی‌دهند.»

این شرکت همچنین تاکید کرد که در حالی که این آسیب‌پذیری نگران‌کننده است، بردار حمله شناسایی‌شده توسط Unciphered از راه دور قابل دستیابی نیست و برای امکان‌پذیر شدن اجرای آن نیازمند «جداسازی دستگاه و دسترسی فیزیکی از طریق یک دستگاه FPGA اختصاصی در آزمایشگاه» است.

به گفته OneKey، در طی مکاتبات با Unciphered، مشخص شد که مشکلات مشابهی در کیف پول های دیگر وجود دارد.

OneKey گفت: “ما همچنین جوایز Unciphered را به آنها پرداخت کردیم تا از آنها برای کمک به امنیت OneKey تشکر کنیم.”

مرتبط با: “تا به امروز نمی توانم آن را از ذهنم خارج کنم” – پروژه کریپتو به قیمت 4 میلیون دلار در لابی هتل هک شد

OneKey در پست وبلاگ خود گفت که در حال حاضر تلاش های زیادی برای اطمینان از امنیت کاربرانش انجام شده است، از جمله محافظت از آنها در برابر حملات زنجیره تامین، زمانی که یک هکر یک کیف پول واقعی را با یک کیف پول کنترل شده توسط آنها، با یک منطقه خاص جایگزین کرد. تمرکز.

اقدامات OneKey شامل بسته بندی ضد دستکاری برای تحویل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای ارائه مدیریت امنیتی دقیق زنجیره تامین است.

در آینده، آنها امیدوارند که احراز هویت داخلی را پیاده سازی کنند و کیف پول های سخت افزاری جدیدتر را با اجزای امنیتی سطح بالاتر ارتقا دهند.

OneKey خاطرنشان کرد که هدف اصلی کیف پول های سخت افزاری همیشه محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است، اما اذعان کرد که متأسفانه هیچ چیز نمی تواند 100٪ ایمن باشد.

با نگاهی به کل فرآیند تولید کیف پول سخت افزاری، از کریستال های سیلیکون گرفته تا کد تراشه، سیستم عامل تا نرم افزار، می توان با اطمینان گفت که با پول، زمان و منابع کافی، می توان بر هر مانع سخت افزاری، حتی یک سیستم کنترل سلاح هسته ای، غلبه کرد.




نویسنده: Stephen Katte

اشتراک گذاری و حمایت

تصویر امیر کرمی

امیر کرمی

کارشناس تولید محتوا و علاقه مند به ارز دیجیتال و دنیای فناوری 😉

دیدگاهتان را بنویسید