OneKey ارائهدهنده کیف پول سختافزار کرپیتو میگوید که قبلاً یک آسیبپذیری در سیستمافزار خود را برطرف کرده است که به یکی از کیف پولهای سختافزاری آن اجازه میدهد در یک ثانیه هک شود.
در 10 فوریه، ویدئویی در یوتیوب که توسط استارتآپ امنیت سایبری Unciphered منتشر شد. نشان داد که آنها راهی برای بهرهبرداری از یک آسیبپذیری حیاتی عظیم برای باز کردن OneKey Mini پیدا کردهاند.
مطالب مرتبط : اصلاح آسیب پذیری های OpenSea که باعث افشا هویت کاربران آن شده است
به گفته اریک مایچاد، یکی از شرکای Unciphered، با جدا کردن دستگاه و درج کدگذاری، امکان بازگشت OneKey Mini به حالت کارخانه و دور زدن پین امنیتی وجود داشته است. که به مهاجم بالقوه اجازه میداد کلیدهای شخصی(private key) مورد استفاده برای بازیابی اطلاعات را حذف کند.
شما CPU و عنصر امنیتی را دارید. عنصر امنیتی جایی است که کلیدهای شخصی خود را نگه می دارید. Michaud توضیح داد که اکنون، به طور معمول، ارتباطات بین CPU، جایی که پردازش انجام میشود، و عنصر امنیتی رمزگذاری میشوند.
خوب معلوم است که در این مورد برای انجام این کار مهندسی نشده است. وی گفت: بنابراین کاری که می توانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را رصد می کند. و آنها را رهگیری می کند و سپس دستورات خود را تزریق می کند.
ما این کار را انجام دادیم، سپس به عنصر امن میگوید که در حالت کارخانه است. و میتوانیم حافظههای شما را که پول شما در رمزنگاری است، خارج کنیم.
با این حال، OneKey در بیانیهای در 10 فوریه گفت که قبلاً نقص امنیتی شناسایی شده توسط Unciphered را برطرف کرده است. و خاطرنشان کرد که تیم سختافزار آن وصله امنیتی را در اوایل سال جاری بدون اینکه کسی تحت تأثیر قرار بگیرد بهروزرسانی کرده است و تمام آسیبپذیریهای فاش شده بوده یا هستند. درست شد.
پاسخ ما به گزارشهای اصلاحات امنیتی اخیر لینک
— کیف پول منبع باز وانکی(OneKey ) 10 فوریه 2023
گفته شد، با عبارات رمز عبور و اقدامات امنیتی اولیه، حتی حملات فیزیکی افشا شده توسط Unciphered بر کاربران OneKey تأثیری نخواهد گذاشت.
این شرکت همچنین تاکید کرد که در حالی که این آسیبپذیری نگرانکننده بود، بردار حمله شناساییشده توسط Unciphered از راه دور قابل دستیابی نیست. و برای اجرای آن نیازمند جداسازی دستگاه و دسترسی فیزیکی از طریق یک دستگاه اختصاصی FPGA در آزمایشگاه است.
به گفته OneKey، در طی مکاتبات با Unciphered، متوجه شدند که سایر کیف پولها نیز مشکلات مشابهی دارند.
OneKey گفت که ما همچنین جوایز Unciphered را پرداخت کردیم تا از مشارکت آنها در امنیت OneKey تشکر کنیم.
OneKey در پست وبلاگ خود گفته است که برای اطمینان از امنیت کاربران خود، از جمله محافظت از آنها در برابر حملات زنجیره ای تلاش زیادی کرده است. (حملات زنجیره ای: زمانی که یک هکر یک کیف پول واقعی را با کیفی که توسط آنها کنترل می شود، جایگزین می کند)
اقدامات OneKey شامل بسته بندی ضد دستکاری برای تحویل و استفاده از ارائه دهندگان خدمات زنجیره تامین اپل برای اطمینان از مدیریت امنیتی زنجیره ای دقیق است.
در آینده، آنها امیدوارند که احراز هویت داخلی را پیاده سازی کنند. و کیف پول های سخت افزاری جدیدتر را با اجزای امنیتی سطح بالاتر ارتقا دهند.
OneKey خاطرنشان کرد که هدف اصلی کیف پول های سخت افزاری همیشه محافظت از پول کاربران در برابر حملات بدافزار، ویروس های رایانه ای و سایر خطرات از راه دور بوده است. اما اذعان داشت که متأسفانه هیچ چیز نمی تواند 100٪ ایمن باشد.
وقتی به کل فرآیند تولید کیف پول سخت افزاری، از کریستال های سیلیکون گرفته تا کد تراشه، از سیستم عامل تا نرم افزار نگاه می کنیم، می توان گفت که با پول، زمان و منابع کافی، هر مانع سخت افزاری را می توان شکست، حتی اگر کنترل سلاح هسته ای باشد.
منبع: cointelegraph