این کیف پول سخت افزاری محبوب توسط یک شرکت امنیت سایبری هک شد – آیا باید نگران باشید؟

ارائه دهنده کیف پول سخت افزاری Crypto یک کلید توسط استارت آپ امنیت سایبری هک شد رمزگشایی نشده است – در یک ثانیه سازنده کیف پول ادعا می کند که آسیب پذیری در سیستم عامل خود که اجازه نقض را می داد برطرف شده است.

در 9 فوریه، Unciphered ویدئویی را در کانال یوتیوب خود منتشر کرد و اظهار داشت که آنها “یک آسیب‌پذیری حیاتی عظیم” پیدا کرده‌اند که موفق شدند در یک ثانیه از آن سوء استفاده کنند و OneKey را کرک کنند.

Eric Michaud، شریک Unciphered، در ادامه نحوه عملکرد هک را توضیح داد و اشاره کرد که دستگاه دارای واحد پردازش مرکزی (CPU) است که مسئول پردازش است و “عنصر امن” که در آن کلیدهای رمزنگاری نگهداری می شوند. ارتباطات بین این دو معمولاً رمزگذاری شده است.

با این حال، میکو گفت:

“[It] معلوم شد که برای انجام این کار در این مورد مهندسی نشده است. ما این را فهمیدیم. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را نظارت می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند. ما این کار را انجام دادیم که سپس به عنصر امن می‌گوید در حالت کارخانه است و می‌توانیم حافظه‌های شما را که پول شما در رمزنگاری است، خارج کنیم.”

بنابراین، اساساً، یک بازیگر بد می‌تواند پس از جداسازی OneKey Mini، کدگذاری را وارد کند، دستگاه را به حالت کارخانه بازگرداند، پین امنیتی را دور بزند و عبارت یادگاری را بگیرد.

تیم با OneKey تماس گرفت و برنامه باگ بونتی را درگیر کرد و آنها مایل بودند با Unciphered برای اصلاح این آسیب‌پذیری همکاری کنند.

OneKey پاسخ می دهد: “آسیب پذیری رفع شده است”

تنها یک روز پس از انتشار این ویدئو، OneKey بیانیه ای صادر کرد و گفت که “هیچ کس تحت تاثیر قرار نگرفته است” و “همه آسیب پذیری های فاش شده برطرف شده یا در حال رفع شدن هستند.”

ارائه دهنده کیف پول گفت که

اوایل سال جاری، یک افشای مسئولیت‌پذیر از استارت‌آپ امنیت سایبری Unciphered دریافت کردیم که یک آسیب‌پذیری احتمالی در میان‌افزار OneKey را تأیید می‌کرد و تیم سخت‌افزار ما وصله امنیتی را بدون اینکه کسی تحت تأثیر قرار بگیرد، به‌روزرسانی کرده است.»

این تیم تاکید کرد که این حملات نمی توانند از راه دور انجام شوند و استدلال می کنند که یک مهاجم باید دستگاه را جدا کند – و همچنین “دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه برای امکان اجرای آن” داشته باشد.

OneKey ادامه داد که در حالی که آنها برای امنیت 100٪ تلاش می کنند، بعید است کسی به آن دست یابد، و هکرهای سفید پوست و شرکت های امنیتی به آنها کمک می کنند تا آسیب پذیری ها را کشف کنند.

آنها همچنین ادعا کردند که سایر ارائه دهندگان کیف پول مشکلات مشابهی دارند – اما OneKey سریعترین آنها را حل کرد.

OneKey گفت: «Unciphered به ما گفت که چندین فروشنده سخت‌افزار مشهور جهان مشکلات مشابهی داشتند، در حالی که ما پاسخگوترین تیم بودیم و بلافاصله مشکل را برطرف کردیم. ما همچنین جوایز Unciphered را پرداخت کردیم تا از مشارکت آنها در امنیت OneKey تشکر کنیم.”

می توانید نمایش هک را در ویدیوی زیر مشاهده کنید.

____

بیشتر بدانید:
– MetaMask پیشرو کیف پول کریپتو نشان می‌دهد که داده‌های کاربر را جمع‌آوری می‌کند، با واکنش شدید جامعه مواجه می‌شود
– هکرها و کلاهبرداران کریپتو تنها در سه ماهه چهارم 1.62 میلیارد دلار به سرقت بردند

– 10 حمله برتر باج‌افزار کریپتو 69 میلیون دلار در پرداخت‌های بیت‌کوین دریافت کردند
– 120 میلیون دلار اکسپلویت: قیمت توکن AllianceBlock در هک اوراکل دستکاری شد – این چیزی است که اتفاق افتاد