Unciphered, OneKey Cüzdanında Artık Yama Yapılmış Güvenlik Açığı Ortaya Çıkardı

Unciphered'daki siber güvenlik ekibi, kanallarında paylaşılan bir YouTube videosunda, araştırma sırasında keşfettikleri OneKey cüzdanı için kritik bir güvenlik açığını gösterdi.

Güvenlik açıklarının beyaz şapkayla keşfedilmesinde alışılageldiği gibi, video yama uygulandıktan sonra yayınlandı.

Geleneksel Şifreleme Eksik

Artık cüzdanlarına erişimi olmayan müşteriler için kayıp kripto para birimini kurtarmaya odaklanan bir siber güvenlik girişimi olan Unciphered, muhtemelen bir müşteri için para kurtarmaya çalışırken sorunu ortaya çıkardı. İçinde video, bir OneKey cüzdanı, Unciphered ekibinin cüzdanın CPU'su ile güvenli birimi arasındaki iletişimi izleyen bir donanım parçası yerleştirmesiyle demonte edilir ve manipüle edilir.

Genel olarak, CPU ile anımsatıcı ve kriptonun saklandığı güvenli birim arasındaki iletişim şifrelenir. Ancak, OneKey cüzdanları için durumun böyle olmadığı görülüyor.

“Normalde iletişim, işlemenin yapıldığı CPU ile güvenli öğe arasında şifrelenir. Bu durumda bunu yapmak için tasarlanmadığı ortaya çıktı. Yani, iletişimleri izleyen ve onları kesen ve ardından kendi komutlarını enjekte eden bir aracı ortaya koyabilirsiniz.

Fabrika Modu Bypass

Unciphered'daki ekip, kendi donanım parçalarını CPU ile güvenli birim arasına yerleştirerek, cihazı fabrika modunda olduğunu düşünmesi için kandırabilir ve ardından anımsatıcıyı ekibin cihazına dökebilir.

"Bunu, güvenli öğeye fabrika modunda olduğunu söylediği yerde yaptık ve anımsatıcılarınızı kaldırabiliriz."

Bu, güvenlik açığını keşfedebilecek kötü bir aktörün yeniden birleştirildiğinde cüzdana erişim kazanmasına izin verirdi.

Son Güvenlik Düzeltme Raporlarına Yanıtımız https://t.co/Dp9nNp1D0U

— OneKey Açık Kaynak Cüzdanı (@OneKeyHQ) Şubat 10, 2023

Uzaktan gerçekleştirilemeyeceği için, bu hack'i gerçekleştirmek için kötü bir aktörün cihaza fiziksel erişiminin olması gerektiğini belirtmekte fayda var. Bununla birlikte, bir donanım cüzdanının konumunun açığa çıkabileceğini not etmek önemlidir - örneğin, cüzdan istemcilerinin verilerinin açığa çıktığı ve onları olası hırsızlıkların yanı sıra basit şantajlara açık bırakan Ledger ihlalini ele alalım. girişimleri.

Neyse ki, iki şirket arasındaki iletişim nedeniyle sorun şimdi düzeltildi. Çabaları için Unciphered, OneKey'in hata ödül programından açıklanmayan bir miktar aldı.