კრიპტო ტექნიკის საფულის პროვაიდერი OneKey ამბობს, რომ მან უკვე მოაგვარა დაუცველობა მის firmware-ში, რამაც მისცა ერთ-ერთი აპარატურის საფულის გატეხვის საშუალება ერთ წამში.
ვიდეო YouTube-ზე გამოქვეყნდა 10 თებერვალს კიბერუსაფრთხოების სტარტაპმა Unciphered-მა აჩვენა, რომ მათ შეძლეს გზა გამოიყენონ „მასიური კრიტიკული დაუცველობა“, რომელიც მათ საშუალებას აძლევდა „გაეტეხათ“ OneKey Mini.
Unciphered-ის პარტნიორის, ერიკ მიშოს თქმით, მოწყობილობის დაშლითა და კოდირების ჩასმით შესაძლებელი გახდა OneKey Mini-ის დაბრუნება „ქარხნულ რეჟიმში“ და უსაფრთხოების პინის გვერდის ავლით, რაც საშუალებას მისცემს პოტენციურ თავდამსხმელს ამოეღო მნემონური ფრაზა, რომელიც გამოიყენება აღდგენისთვის. საფულე.
”თქვენ გაქვთ CPU და უსაფრთხო ელემენტი. უსაფრთხო ელემენტი არის ის, სადაც ინახავთ თქვენს კრიპტო გასაღებებს. ახლა, ჩვეულებრივ, კომუნიკაციები დაშიფრულია CPU-ს შორის, სადაც ხდება დამუშავება და უსაფრთხო ელემენტს შორის“, - განმარტა მიშომ.
„აბა, თურმე არ იყო შექმნილი ამ შემთხვევაში. ასე რომ, რაც შეგიძლიათ გააკეთოთ არის შუაში ინსტრუმენტის დაყენება, რომელიც მონიტორინგს უწევს კომუნიკაციებს და წყვეტს მათ და შემდეგ ახორციელებს საკუთარ ბრძანებებს, ”- თქვა მან და დასძინა:
”ჩვენ ასე გავაკეთეთ, სადაც ის ეუბნება უსაფრთხო ელემენტს, რომ ის ქარხნულ რეჟიმშია და ჩვენ შეგვიძლია ამოიღოთ თქვენი მნემონიკა, რაც არის თქვენი ფული კრიპტოში.”
თუმცა, 10 თებერვლის განცხადებაში OneKey-მ თქვა, რომ ეს უკვე იყო მიმართა უსაფრთხოების ხარვეზი გამოვლენილი Unciphered-ის მიერ და აღნიშნა, რომ მისმა აპარატურულმა გუნდმა განაახლა უსაფრთხოების პატჩი „ამ წლის დასაწყისში“ „ვინმეს არ დაზარალდა“ და რომ „ყველა გამოვლენილი დაუცველობა გამოსწორდა ან მიმდინარეობს.
ჩვენი პასუხი უსაფრთხოების შესწორების ბოლო ანგარიშებზე https://t.co/Dp9nNp1D0U
— OneKey ღია კოდის საფულე (@OneKeyHQ) თებერვალი 10, 2023
„როგორც ამბობენ, პაროლის ფრაზებით და უსაფრთხოების ძირითადი პრაქტიკით, Unciphered-ის მიერ გამჟღავნებული ფიზიკური შეტევებიც კი არ იმოქმედებს OneKey-ის მომხმარებლებზე“.
კომპანიამ ასევე ხაზგასმით აღნიშნა, რომ მიუხედავად იმისა, რომ დაუცველობა შემაშფოთებელი იყო, Unciphered-ის მიერ გამოვლენილი თავდასხმის ვექტორი არ შეიძლება გამოყენებულ იქნას დისტანციურად და მოითხოვს „მოწყობილობის დაშლას და ფიზიკურ წვდომას ლაბორატორიაში გამოყოფილი FPGA მოწყობილობის მეშვეობით, რათა შესაძლებელი იყოს მისი შესრულება“.
OneKey-ის თანახმად, Unciphered-თან მიმოწერის დროს გაირკვა, რომ სხვა საფულეებიც ყოფილა აღმოაჩინა მსგავსი პრობლემები.
„ჩვენ ასევე გადავიხადეთ Unciphered-ის ბონუსები, რომ მადლობა გადავუხადოთ მათ OneKey-ის უსაფრთხოებაში შეტანილი წვლილისთვის“, - თქვა OneKey-მ.
ამავე თემაზე: „დღემდე მდევს“ - კრიპტოპროექტი 4 მილიონ დოლარად გატეხეს სასტუმროს ფოიეში
თავის ბლოგ-პოსტში OneKey-მ თქვა, რომ უკვე დიდი ძალისხმევა გასწია თავისი მომხმარებლების უსაფრთხოების უზრუნველსაყოფად, მათ შორის მათი დაცვისგან. მიწოდების ჯაჭვის შეტევები — როდესაც ჰაკერი ცვლის ნამდვილ საფულეს მათ მიერ კონტროლირებადი საფულეთ.
OneKey-ის ზომები მოიცავდა შეფუთვას მიწოდებისთვის და Apple-ის მიწოდების ჯაჭვის სერვისის პროვაიდერების გამოყენებას მიწოდების ჯაჭვის უსაფრთხოების მკაცრი მართვის უზრუნველსაყოფად.
მომავალში, ისინი იმედოვნებენ, რომ განახორციელებენ ბორტ ავთენტიფიკაციას და განაახლებს უახლესი ტექნიკის საფულეებს უმაღლესი დონის უსაფრთხოების კომპონენტებით.
OneKey დაწერა, რომ მთავარი ტექნიკის საფულეების დანიშნულება ყოველთვის იყო მომხმარებელთა ფულის დაცვა მავნე პროგრამების შეტევებისგან, კომპიუტერული ვირუსებისგან და სხვა დისტანციური საფრთხისგან, მაგრამ სამწუხაროდ, არაფერი შეიძლება იყოს 100% უსაფრთხო.
„როდესაც ჩვენ ვუყურებთ ტექნიკის საფულის წარმოების მთელ პროცესს, სილიკონის კრისტალებიდან ჩიპების კოდამდე, პროგრამული უზრუნველყოფიდან პროგრამულ უზრუნველყოფამდე, უსაფრთხოდ შეიძლება ითქვას, რომ საკმარისი ფულით, დროისა და რესურსებით, ნებისმიერი ტექნიკის ბარიერი შეიძლება დაირღვეს, თუნდაც ეს იყოს ბირთვული იარაღი. საკონტროლო სისტემა."
წყარო: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second