این کیف پول سخت افزاری محبوب توسط یک شرکت امنیت سایبری هک شد – آیا باید نگران باشید؟
ارائه دهنده کیف پول سخت افزاری Crypto یک کلید توسط استارت آپ امنیت سایبری هک شد رمزگشایی نشده است – در یک ثانیه سازنده کیف پول ادعا می کند که آسیب پذیری در سیستم عامل خود که اجازه نقض را می داد برطرف شده است.
در 9 فوریه، Unciphered ویدئویی را در کانال یوتیوب خود منتشر کرد و اظهار داشت که آنها “یک آسیبپذیری حیاتی عظیم” پیدا کردهاند که موفق شدند در یک ثانیه از آن سوء استفاده کنند و OneKey را کرک کنند.
Eric Michaud، شریک Unciphered، در ادامه نحوه عملکرد هک را توضیح داد و اشاره کرد که دستگاه دارای واحد پردازش مرکزی (CPU) است که مسئول پردازش است و “عنصر امن” که در آن کلیدهای رمزنگاری نگهداری می شوند. ارتباطات بین این دو معمولاً رمزگذاری شده است.
با این حال، میکو گفت:
“[It] معلوم شد که برای انجام این کار در این مورد مهندسی نشده است. ما این را فهمیدیم. بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را نظارت می کند و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند. ما این کار را انجام دادیم که سپس به عنصر امن میگوید در حالت کارخانه است و میتوانیم حافظههای شما را که پول شما در رمزنگاری است، خارج کنیم.”
بنابراین، اساساً، یک بازیگر بد میتواند پس از جداسازی OneKey Mini، کدگذاری را وارد کند، دستگاه را به حالت کارخانه بازگرداند، پین امنیتی را دور بزند و عبارت یادگاری را بگیرد.
تیم با OneKey تماس گرفت و برنامه باگ بونتی را درگیر کرد و آنها مایل بودند با Unciphered برای اصلاح این آسیبپذیری همکاری کنند.
OneKey پاسخ می دهد: “آسیب پذیری رفع شده است”
تنها یک روز پس از انتشار این ویدئو، OneKey بیانیه ای صادر کرد و گفت که “هیچ کس تحت تاثیر قرار نگرفته است” و “همه آسیب پذیری های فاش شده برطرف شده یا در حال رفع شدن هستند.”
ارائه دهنده کیف پول گفت که
اوایل سال جاری، یک افشای مسئولیتپذیر از استارتآپ امنیت سایبری Unciphered دریافت کردیم که یک آسیبپذیری احتمالی در میانافزار OneKey را تأیید میکرد و تیم سختافزار ما وصله امنیتی را بدون اینکه کسی تحت تأثیر قرار بگیرد، بهروزرسانی کرده است.»
این تیم تاکید کرد که این حملات نمی توانند از راه دور انجام شوند و استدلال می کنند که یک مهاجم باید دستگاه را جدا کند – و همچنین “دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه برای امکان اجرای آن” داشته باشد.
OneKey ادامه داد که در حالی که آنها برای امنیت 100٪ تلاش می کنند، بعید است کسی به آن دست یابد، و هکرهای سفید پوست و شرکت های امنیتی به آنها کمک می کنند تا آسیب پذیری ها را کشف کنند.
آنها همچنین ادعا کردند که سایر ارائه دهندگان کیف پول مشکلات مشابهی دارند – اما OneKey سریعترین آنها را حل کرد.
OneKey گفت: «Unciphered به ما گفت که چندین فروشنده سختافزار مشهور جهان مشکلات مشابهی داشتند، در حالی که ما پاسخگوترین تیم بودیم و بلافاصله مشکل را برطرف کردیم. ما همچنین جوایز Unciphered را پرداخت کردیم تا از مشارکت آنها در امنیت OneKey تشکر کنیم.”
می توانید نمایش هک را در ویدیوی زیر مشاهده کنید.
____
بیشتر بدانید:
– MetaMask پیشرو کیف پول کریپتو نشان میدهد که دادههای کاربر را جمعآوری میکند، با واکنش شدید جامعه مواجه میشود
– هکرها و کلاهبرداران کریپتو تنها در سه ماهه چهارم 1.62 میلیارد دلار به سرقت بردند
– 10 حمله برتر باجافزار کریپتو 69 میلیون دلار در پرداختهای بیتکوین دریافت کردند
– 120 میلیون دلار اکسپلویت: قیمت توکن AllianceBlock در هک اوراکل دستکاری شد – این چیزی است که اتفاق افتاد