У відео YouTube, опублікованому на їхньому каналі, команда з кібербезпеки в Unciphered продемонструвала критичну вразливість безпеки для гаманця OneKey, яку вони виявили під час дослідження.
Як це прийнято для виявлення вразливостей у білому капелюсі, відео було опубліковано після того, як його виправили.
Відсутність стандартного шифрування
Unciphered, стартап у сфері кібербезпеки, основним напрямком якого є відновлення втраченої криптовалюти для клієнтів, які більше не мають доступу до своїх гаманців, імовірно, виявив проблему під час спроби повернути кошти для клієнта. В відео, гаманець OneKey розбирається та маніпулюється, при цьому команда Unciphered вставляє частину апаратного забезпечення, яке контролює зв’язок між центральним процесором гаманця та його захищеним блоком.
Як правило, зв’язок між центральним процесором і захищеним блоком, де зберігаються мнемоніка та крипто, є зашифрованим. Однак для гаманців OneKey, схоже, це було не так.
«Зазвичай зв’язок між центральним процесором, де виконується обробка, і захищеним елементом шифрується. Ну, виявляється, у цьому випадку це не було розроблено для цього. Тож що ви можете зробити, так це встановити інструмент посередині, який стежить за комунікаціями та перехоплює їх, а потім вводить власні команди».
Обхід заводського режиму
Вставивши свою частину апаратного забезпечення між процесором і захищеним блоком, команда з Unciphered могла обманом змусити пристрій подумати, що він у заводському режимі, який потім скинув мнемоніку на пристрій команди.
РЕКЛАМА
«Ми зробили це, коли він повідомляє захищеному елементу, що він у заводському режимі, і ми можемо видалити вашу мнемоніку».
Це дозволило б зловмиснику, який міг виявити вразливість, отримати доступ до гаманця після того, як його було зібрано.
Наша відповідь на останні звіти про виправлення безпеки https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) 10 Лютого, 2023
Варто зазначити, що для того, щоб здійснити цей хак, зловмиснику потрібно було б мати фізичний доступ до пристрою, оскільки це не можна було виконати віддалено. Тим не менш, важливо зазначити, що місцезнаходження апаратного гаманця може бути розкрито – візьмемо, наприклад, взлом Ledger, коли дані клієнтів гаманця були розкриті, залишаючи їх відкритими для потенційних крадіжок, а також простого вимагання. спроби.
На щастя, проблему тепер виправлено завдяки спілкуванню між двома компаніями. За свої зусилля Unciphered отримав нерозголошену суму від програми винагороди за помилки OneKey.
Binance безкоштовно $100 (ексклюзив): Використовуйте це посилання щоб зареєструватися та отримати 100 доларів США безкоштовно та знижку 10% на Binance Futures за перший місяць (terms ).
Спеціальна пропозиція PrimeXBT: Використовуйте це посилання щоб зареєструватися та ввести код POTATO50, щоб отримати до 7,000 доларів США на свої депозити.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/
- 000
- 1
- 10
- a
- доступ
- після
- AI
- кількість
- та
- спроба
- фон
- поганий
- банер
- між
- бінанду
- Ф'ючерси на Binance
- border
- щедрість
- програма баунті
- порушення
- Помилка
- помилка баунті
- випадок
- Канал
- клієнтів
- код
- color
- Комунікація
- зв'язку
- Компанії
- зміст
- може
- центральний процесор
- критичний
- крипто
- клієнт
- Кібербезпека
- дані
- продемонстрований
- депозити
- пристрій
- DID
- відкритий
- відкриття
- під час
- зусилля
- зашифрованих
- користуватися
- Що натомість? Створіть віртуальну версію себе у
- Ефір (ETH)
- приклад
- Ексклюзивний курс
- піддаватися
- зовнішній
- вимагання
- завод
- Інформація про оплату
- Перший
- виправляти
- Сфокусувати
- Безкоштовна
- від
- засоби
- Ф'ючерси
- Отримувати
- зламати
- апаратні засоби
- Апаратний гаманець
- hat
- Однак
- HTTPS
- важливо
- in
- внутрішній
- питання
- IT
- догляд
- Гросбух
- розташування
- довше
- головний
- маніпулювати
- Маржа
- Середній
- може бути
- режим
- контрольований
- монітори
- необхідно
- проте
- пропонувати
- OneKey
- відкрити
- з відкритим вихідним кодом
- порядок
- власний
- виконувати
- фізичний
- частина
- plato
- Інформація про дані Платона
- PlatoData
- потенціал
- обробка
- програма
- put
- читання
- отримати
- отримано
- останній
- Відновлювати
- відновлюється
- реєструвати
- випущений
- Звіти
- дослідження
- відповідь
- Виявляє
- безпечний
- безпеку
- уразливості безпеки
- Поділитись
- загальні
- простий
- So
- solid
- Source
- спеціальний
- Рекламні
- введення в експлуатацію
- зберігати
- Приймати
- команда
- розповідає
- Команда
- крадіжки
- їх
- Мислення
- до
- інструмент
- блок
- Відео
- Уразливості
- вразливість
- Wallet
- Гаманці
- Що
- який
- в той час як
- білий
- ВООЗ
- вартість
- б
- вашу
- YouTube
- зефірнет