Unciphered เผยช่องโหว่ที่แพตช์แล้วใน OneKey Wallet

ในวิดีโอ YouTube ที่แชร์บนช่องของพวกเขา ทีมรักษาความปลอดภัยทางไซเบอร์ของ Unciphered ได้แสดงให้เห็นถึงช่องโหว่ด้านความปลอดภัยที่สำคัญสำหรับกระเป๋าเงิน OneKey ที่พวกเขาค้นพบระหว่างการวิจัย

ตามธรรมเนียมของการค้นพบช่องโหว่ของ White Hat วิดีโอนี้เผยแพร่หลังจากแพตช์แล้ว

ไม่มีการเข้ารหัสแบบกำหนดเอง

Unciphered สตาร์ทอัพด้านความปลอดภัยในโลกไซเบอร์ที่โฟกัสหลักคือการกู้คืน crypto ที่หายไปสำหรับลูกค้าที่ไม่สามารถเข้าถึงกระเป๋าเงินของพวกเขาได้อีกต่อไป สันนิษฐานว่าพบปัญหาในขณะที่พยายามกู้คืนเงินให้กับลูกค้า ใน วีดีโอกระเป๋าเงิน OneKey ถูกถอดประกอบและจัดการ โดยทีม Unciphered ได้ใส่ชิ้นส่วนของฮาร์ดแวร์ที่ตรวจสอบการสื่อสารระหว่าง CPU ของกระเป๋าเงินและหน่วยรักษาความปลอดภัย

โดยทั่วไปแล้ว การสื่อสารระหว่าง CPU และหน่วยความปลอดภัย – ที่จัดเก็บอุปกรณ์ช่วยจำและการเข้ารหัสลับ – จะถูกเข้ารหัส อย่างไรก็ตาม สำหรับ OneKey wallets ดูเหมือนว่าจะไม่เป็นเช่นนั้น

“โดยปกติแล้ว การสื่อสารจะถูกเข้ารหัสระหว่าง CPU ที่ดำเนินการประมวลผล และองค์ประกอบที่ปลอดภัย ปรากฎว่ามันไม่ได้ถูกออกแบบมาให้ทำเช่นนั้นในกรณีนี้ ดังนั้น สิ่งที่คุณทำได้คือวางเครื่องมือไว้ตรงกลางที่ตรวจสอบการสื่อสารและสกัดกั้น จากนั้นจึงป้อนคำสั่งของมันเอง”

บายพาสโหมดโรงงาน

ด้วยการใส่ชิ้นส่วนของฮาร์ดแวร์ระหว่าง CPU และยูนิตที่ปลอดภัย ทีมงานที่ Unciphered สามารถหลอกอุปกรณ์ให้คิดว่าอยู่ในโหมดโรงงาน ซึ่งจะทิ้งความจำลงในอุปกรณ์ของทีม

“เราทำอย่างนั้นโดยที่มันจะบอกองค์ประกอบที่ปลอดภัยว่าอยู่ในโหมดโรงงาน และเราสามารถนำการจำของคุณออกไปได้”

สิ่งนี้จะทำให้ผู้ไม่ประสงค์ดีที่สามารถค้นพบช่องโหว่สามารถเข้าถึงกระเป๋าเงินได้เมื่อประกอบกลับเข้าไปใหม่

การตอบสนองของเราต่อรายงานแก้ไขการรักษาความปลอดภัยล่าสุด https://t.co/Dp9nNp1D0U
— OneKey โอเพ่นซอร์ส Wallet (@OneKeyHQ) กุมภาพันธ์ 10, 2023

เป็นที่น่าสังเกตว่าในการดำเนินการแฮ็กนี้ ผู้ไม่ประสงค์ดีจำเป็นต้องเข้าถึงอุปกรณ์ทางกายภาพ เนื่องจากไม่สามารถดำเนินการจากระยะไกลได้ อย่างไรก็ตาม สิ่งสำคัญคือต้องทราบว่าตำแหน่งของกระเป๋าเงินฮาร์ดแวร์สามารถถูกเปิดเผยได้ เช่น การละเมิดบัญชีแยกประเภท เช่น ที่ซึ่งข้อมูลของลูกค้ากระเป๋าเงินถูกเปิดเผย ปล่อยให้พวกเขาเปิดโอกาสสำหรับการโจรกรรมและการขู่กรรโชกง่ายๆ ความพยายามในการ.

โชคดีที่ตอนนี้ปัญหาได้รับการแก้ไขแล้วเนื่องจากการสื่อสารระหว่างทั้งสองบริษัท สำหรับความพยายามของพวกเขา Unciphered ได้รับเงินจำนวนที่ไม่เปิดเผยจากโปรแกรมรางวัลบั๊กของ OneKey

ข้อเสนอพิเศษ (ผู้สนับสนุน)
Binance ฟรี $100 (พิเศษ): ใช้ลิงก์นี้ เพื่อลงทะเบียนและรับฟรี $100 และค่าธรรมเนียม 10% สำหรับ Binance Futures เดือนแรก (เงื่อนไขการใช้บริการ).

ข้อเสนอพิเศษ PrimeXBT: ใช้ลิงก์นี้ เพื่อลงทะเบียนและป้อนรหัส POTATO50 เพื่อรับสูงถึง $7,000 จากเงินฝากของคุณ

ที่มา: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/