მათ არხზე გაზიარებულ YouTube ვიდეოში, Unciphered-ის კიბერუსაფრთხოების ჯგუფმა აჩვენა უსაფრთხოების კრიტიკული დაუცველობა OneKey საფულესთვის, რომელიც მათ აღმოაჩინეს კვლევის დროს.
როგორც ჩვეულია თეთრი ქუდის აღმოჩენის მოწყვლადობისთვის, ვიდეო გამოქვეყნდა მას შემდეგ, რაც შესწორდა.
ჩვეულებრივი დაშიფვრის ნაკლებობა
Unciphered-მა, კიბერუსაფრთხოების სტარტაპმა, რომლის მთავარი აქცენტი არის დაკარგული კრიპტოვალუტის აღდგენა კლიენტებისთვის, რომლებსაც აღარ აქვთ წვდომა საფულეზე, სავარაუდოდ, აღმოაჩინა ეს საკითხი კლიენტისთვის თანხების აღდგენის მცდელობისას. ში ვიდეო, OneKey საფულე იშლება და მანიპულირებს, Unciphered-ის გუნდმა ჩასვა აპარატურის ნაწილი, რომელიც აკონტროლებდა კომუნიკაციას საფულის პროცესორსა და მის უსაფრთხო ერთეულს შორის.
ზოგადად, CPU-სა და უსაფრთხო ერთეულს შორის კომუნიკაცია - სადაც ინახება მნემონიკა და კრიპტო - დაშიფრულია. თუმცა, OneKey საფულეებისთვის, როგორც ჩანს, ეს ასე არ იყო.
„ჩვეულებრივ, კომუნიკაციები დაშიფრულია CPU-ს, სადაც ხდება დამუშავება და უსაფრთხო ელემენტს შორის. ისე, გამოდის, რომ ეს არ იყო შემუშავებული ამ შემთხვევაში. ასე რომ, რაც შეგიძლიათ გააკეთოთ არის შუაში ინსტრუმენტის დაყენება, რომელიც აკონტროლებს კომუნიკაციებს და წყვეტს მათ, შემდეგ კი ახორციელებს საკუთარ ბრძანებებს. ”
ქარხნის რეჟიმის შემოვლითი გზა
პროცესორსა და უსაფრთხო ერთეულს შორის ტექნიკის ნაწილის ჩასმით, Unciphered-ის გუნდმა შეიძლება მოატყუოს მოწყობილობა, რომ იფიქროს, რომ ის ქარხნულ რეჟიმშია, რომელიც შემდეგ მნემონიკას გადაყრის გუნდის მოწყობილობაზე.
„ჩვენ ასე გავაკეთეთ იქ, სადაც ის ეუბნება უსაფრთხო ელემენტს, რომ ის ქარხნულ რეჟიმშია და ჩვენ შეგვიძლია გამოვიტანოთ თქვენი მნემონიკა“.
ეს საშუალებას მისცემდა ცუდ მსახიობს, რომელსაც შეეძლო აღმოეჩინა დაუცველობა, მიეღო წვდომა საფულეზე ხელახლა აწყობის შემდეგ.
ჩვენი პასუხი უსაფრთხოების შესწორების ბოლო ანგარიშებზე https://t.co/Dp9nNp1D0U
— OneKey ღია კოდის საფულე (@OneKeyHQ) თებერვალი 10, 2023
აღსანიშნავია, რომ ამ ჰაკის შესასრულებლად საჭირო იქნებოდა ცუდ მსახიობს ჰქონოდა მოწყობილობაზე ფიზიკური წვდომა, რადგან მისი დისტანციურად შესრულება არ შეიძლებოდა. მიუხედავად ამისა, მნიშვნელოვანია აღინიშნოს, რომ ტექნიკის საფულის მდებარეობა შეიძლება გამოაშკარავდეს – ავიღოთ ლეჯერის დარღვევა, მაგალითად, სადაც საფულის კლიენტების მონაცემები იყო გამოვლენილი, რაც მათ ღიად ტოვებს პოტენციური ქურდობისთვის და ასევე მარტივი გამოძალვისთვის. მცდელობა.
საბედნიეროდ, ეს საკითხი ახლა მოგვარებულია ორ კომპანიას შორის კომუნიკაციის გამო. მათი ძალისხმევისთვის Unciphered-მა მიიღო გაურკვეველი თანხა OneKey-ის შეცდომების პრემიის პროგრამისგან.
Binance უფასო $100 (ექსკლუზიური): გამოიყენეთ ეს ბმული დარეგისტრირდეთ და მიიღოთ $100 უფასო და 10% ფასდაკლება Binance Futures-ის პირველ თვეში (ტერმინები).
PrimeXBT სპეციალური შეთავაზება: გამოიყენეთ ეს ბმული დარეგისტრირდით და შეიყვანეთ POTATO50 კოდი, რომ მიიღოთ $7,000-მდე თქვენს დეპოზიტებზე.
წყარო: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/