YouTube арнасында бөліскен бейнеде Unciphered киберқауіпсіздік тобы зерттеу барысында тапқан OneKey әмиянының маңызды қауіпсіздік осалдығын көрсетті.
Ақ қалпақ осалдықтарды табу үшін әдеттегідей, бейне түзетуден кейін шығарылды.
Әдеттегі шифрлаудың болмауы
Unciphered, киберқауіпсіздік стартапы, оның басты мақсаты әмияндарына енді қол жеткізе алмайтын клиенттер үшін жоғалған крипто-ақшаны қалпына келтіру болып табылады, бәлкім, клиент үшін қаражатты қалпына келтіру әрекеті кезінде мәселені ашты. Ішінде Бейне, OneKey әмияны бөлшектеледі және өңделеді, Unciphered командасы әмиянның орталық процессоры мен оның қауіпсіз бөлігі арасындағы байланысты бақылайтын аппараттық құрал бөлігін енгізеді.
Жалпы алғанда, мнемоника мен крипто сақталатын процессор мен қауіпсіз блок арасындағы байланыс шифрланған. Дегенмен, OneKey әмияндары үшін бұлай болмаған сияқты.
«Әдетте коммуникациялар өңдеу орындалатын орталық процессор мен қауіпсіз элемент арасында шифрланады. Бұл жағдайда олай жасау үшін жасалмаған. Сонымен, сіз жасай алатын нәрсе - байланыстарды бақылайтын және оларды ұстап тұратын, содан кейін өз пәрмендерін енгізетін құралды ортаға қою».
Зауыттық режимді айналып өту
Процессор мен қауіпсіз блоктың арасына аппараттық құралды енгізу арқылы Unciphered командасы құрылғыны зауыттық режимде деп алдап, кейін мнемониканы команданың құрылғысына тастады.
«Біз мұны қауіпсіз элементке зауыттық режимде екенін айтатын жерде жасадық және біз сіздің мнемотехникаңызды алып тастай аламыз».
Бұл осалдықты анықтаған нашар актерге әмиянды қайта жинағаннан кейін оған қол жеткізуге мүмкіндік берер еді.
Қауіпсіздікті түзету туралы соңғы есептерге біздің жауабымыз https://t.co/Dp9nNp1D0U
— OneKey ашық бастапқы әмиян (@OneKeyHQ) Ақпан 10, 2023
Айта кетейік, бұл бұзуды орындау үшін қашықтан орындау мүмкін болмағандықтан, нашар актердің құрылғыға физикалық қол жеткізуі қажет еді. Соған қарамастан, аппараттық әмиянның орналасқан жері әшкере болуы мүмкін екенін ескеру маңызды – мысалы, әмиян клиенттерінің деректері әшкереленіп, оларды әлеуетті ұрлықтарға, сондай-ақ қарапайым бопсалауға ашық қалдыратын Ledger бұзуды алыңыз. әрекеттері.
Бақытымызға орай, бұл мәселе екі компания арасындағы байланыстың арқасында шешілді. Олардың күш-жігері үшін Unciphered OneKey-тің қателер үшін сыйақы бағдарламасынан ашылмаған соманы алды.
Binance Тегін $100 (ерекше): Бұл сілтемені пайдаланыңыз тіркелу және Binance Futures бірінші айда $100 тегін және 10% жеңілдік комиссияларын алу (терминдер).
PrimeXBT арнайы ұсынысы: Бұл сілтемені пайдаланыңыз тіркелу және депозиттеріңізде $50 7,000 алу үшін POTATOXNUMX кодын енгізіңіз.
Дереккөз: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/