A csatornájukon megosztott YouTube-videóban az Unciphered kiberbiztonsági csapata egy kritikus biztonsági rést mutatott be a OneKey pénztárcánál, amelyet a kutatás során fedeztek fel.
Ahogy az a sebezhetőségek fehér kalapos felfedezésénél lenni szokott, a videót a foltozás után hozták nyilvánosságra.
Hiányzik a szokásos titkosítás
Az Unciphered, egy kiberbiztonsági startup, amelynek fő célja az elveszett kriptográfia visszaszerzése azon ügyfelek számára, akik már nem férnek hozzá a pénztárcájukhoz, feltehetően feltárta a problémát, miközben megpróbált pénzt visszaszerezni egy ügyfél számára. Ban,-ben videó, a OneKey pénztárcát szétszedik és manipulálják, az Unciphered csapata pedig beilleszt egy hardvert, amely felügyelte a kommunikációt a pénztárca CPU-ja és biztonságos egysége között.
Általában a CPU és a biztonságos egység közötti kommunikáció – ahol az emlékeztető és a kriptográfia tárolódik – titkosított. A OneKey pénztárcák esetében azonban úgy tűnik, hogy nem ez volt a helyzet.
„Normál esetben a kommunikáció titkosított a CPU, ahol a feldolgozás történik, és a biztonságos elem között. Nos, kiderült, hogy ebben az esetben nem erre tervezték. Tehát azt tehetné, hogy egy eszközt helyez a közepére, amely figyeli a kommunikációt és lehallgatja azokat, majd beadja a saját parancsait."
Gyári mód bypass
Az Unciphered csapata a CPU és a biztonságos egység közé beillesztve a hardverelemet úgy tudta rávenni az eszközt, hogy azt gondolja, hogy gyári üzemmódban van, ami aztán a figyelmeztetést a csapat eszközére helyezte.
REKLÁM
„Ezt úgy tettük, hogy azután azt mondja a biztonsági elemnek, hogy gyári módban van, és ki tudjuk venni az emlékezőt.”
Ez lehetővé tette volna, hogy egy rossz színész, aki felfedezhette volna a sebezhetőséget, hozzáférjen a pénztárcához, miután újra összeszerelték.
Válaszunk a legutóbbi biztonsági javítási jelentésekre https://t.co/Dp9nNp1D0U
- OneKey nyílt forráskódú pénztárca (@OneKeyHQ) Február 10, 2023
Érdemes megjegyezni, hogy ennek a hacknek a végrehajtásához az kellett volna, hogy egy rossz színész fizikailag hozzáférjen az eszközhöz, mivel azt távolról nem lehetett végrehajtani. Mindazonáltal fontos megjegyezni, hogy a hardveres pénztárca helye feltárulhat – vegyük például a Ledger feltörést, ahol a pénztárca klienseinek adatai nyilvánosságra kerültek, nyitva hagyva őket potenciális lopásoknak, valamint egyszerű zsarolásnak. Kísérletek.
Szerencsére a problémát a két cég kommunikációja miatt mostanra javították. Erőfeszítéseikért az Unciphered egy nem titkolt összeget kapott a OneKey bug bounty programjából.
Binance ingyenes 100 USD (exkluzív): Használja ezt a linket regisztrálni, és 100 dollár ingyenes és 10% kedvezményt kap a Binance Futures első hónapjában (feltételek).
PrimeXBT különleges ajánlat: Használja ezt a linket regisztrálni és beírni a POTATO50 kódot, hogy akár 7,000 dollárt is kaphasson befizetései után.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/
- 000
- 1
- 10
- a
- hozzáférés
- Után
- AI
- összeg
- és a
- megkísérlése
- háttér
- Rossz
- zászló
- között
- binance
- Binance Futures
- határ
- pénzadomány
- fejlett program
- megsértése
- Bogár
- bug-bounty
- eset
- csatorna
- ügyfél részére
- kód
- szín
- közlés
- távközlés
- Companies
- tartalom
- tudott
- CPU
- kritikai
- crypto
- vevő
- Kiberbiztonság
- dátum
- igazolták
- betétek
- eszköz
- DID
- felfedezett
- felfedezés
- alatt
- erőfeszítések
- titkosított
- élvez
- belép
- Eter (ETH)
- példa
- Kizárólagos
- kitett
- külső
- zsarolás
- gyár
- díjak
- vezetéknév
- Rögzít
- Összpontosít
- Ingyenes
- ból ből
- alapok
- Futures
- Nyereség
- csapkod
- hardver
- Hardver pénztárca
- kalap
- azonban
- HTTPS
- fontos
- in
- belső
- kérdés
- IT
- kilépő
- Főkönyv
- elhelyezkedés
- hosszabb
- Fő
- manipulált
- Margó
- Középső
- esetleg
- Mód
- ellenőrizni
- monitorok
- elengedhetetlen
- Mindazonáltal
- ajánlat
- Egy kulcs
- nyitva
- nyílt forráskódú
- érdekében
- saját
- teljesít
- fizikai
- darab
- Plató
- Platón adatintelligencia
- PlatoData
- potenciális
- feldolgozás
- Program
- tesz
- Olvasás
- kap
- kapott
- új
- Meggyógyul
- visszanyerésére
- Regisztráció
- felszabaduló
- Jelentések
- kutatás
- válasz
- felfedi
- biztonság
- biztonság
- biztonsági rés
- Megosztás
- megosztott
- Egyszerű
- So
- szilárd
- forrás
- speciális
- Szponzorált
- indítás
- memorizált
- Vesz
- csapat
- megmondja
- A
- lopások
- azok
- Gondolkodás
- nak nek
- szerszám
- egység
- videó
- sérülékenységek
- sebezhetőség
- pénztárca
- Pénztárcák
- Mit
- ami
- míg
- fehér
- WHO
- érdemes
- lenne
- A te
- youtube
- zephyrnet