Crypto ապարատային դրամապանակների մատակարար OneKey-ն ասում է, որ արդեն լուծել է իր որոնվածի խոցելիությունը, որը թույլ է տվել իր ապարատային դրամապանակներից մեկը կոտրել մեկ վայրկյանում:
Տեսանյութ YouTube-ում Փոխանցել փետրվարի 10-ին կիբերանվտանգության ստարտափ Unciphered-ը ցույց տվեց, որ իրենք գտել են «Զանգվածային կրիտիկական խոցելիությունը» օգտագործելու միջոց, որը թույլ է տվել «բացել» OneKey Mini-ը:
Ըստ Unciphered-ի գործընկեր Էրիկ Միխոյի, սարքն ապամոնտաժելով և կոդավորում տեղադրելով՝ հնարավոր եղավ OneKey Mini-ն վերադարձնել «գործարանային ռեժիմ» և շրջանցել անվտանգության փինը՝ թույլ տալով պոտենցիալ հարձակվողին հեռացնել մնեմոնիկ արտահայտությունը, որն օգտագործվում էր վերականգնելու համար: դրամապանակ.
«Դուք ունեք պրոցեսոր և ապահով տարր: Անվտանգ տարրն այն է, որտեղ դուք պահում եք ձեր կրիպտո բանալիները: Այժմ, սովորաբար, հաղորդակցությունները կոդավորված են պրոցեսորի միջև, որտեղ կատարվում է մշակումը, և անվտանգ տարրի միջև», - բացատրեց Միխոն:
«Դե, պարզվում է, որ այս դեպքում այդպես վարվելու համար նախատեսված չէր: Այսպիսով, այն, ինչ դուք կարող եք անել, մեջտեղում գործիք դնելն է, որը վերահսկում է հաղորդակցությունները և գաղտնալսում դրանք, իսկ հետո ներարկում իրենց սեփական հրամանները», - ասաց նա՝ հավելելով.
«Մենք դա արեցինք այնտեղ, որտեղ այն այնուհետև ասում է անվտանգ տարրին, որ այն գտնվում է գործարանային ռեժիմում, և մենք կարող ենք դուրս հանել ձեր մնեմոնիկները, որոնք ձեր գումարն են կրիպտո տարբերակով»:
Այնուամենայնիվ, փետրվարի 10-ի հայտարարության մեջ OneKey-ն ասաց, որ դա արդեն եղել է դիմել Unciphered-ի կողմից հայտնաբերված անվտանգության թերությունը՝ նշելով, որ իր ապարատային թիմը թարմացրել է անվտանգության կարկատումը «ավելի վաղ այս տարվա սկզբին»՝ առանց «որևէ մեկի վրա տուժելու» և որ «բացահայտված բոլոր խոցելիությունները շտկվել են կամ շտկվում են»։
Մեր պատասխանը անվտանգության ուղղման վերջին հաշվետվություններին https://t.co/Dp9nNp1D0U
— OneKey բաց կոդով դրամապանակ (@OneKeyHQ) Փետրվարի 10, 2023
«Այսպիսով, գաղտնաբառերի արտահայտություններով և հիմնական անվտանգության պրակտիկայով, նույնիսկ Unciphered-ի կողմից բացահայտված ֆիզիկական հարձակումները չեն ազդի OneKey-ի օգտատերերի վրա»:
Ընկերությունը նաև ընդգծեց, որ թեև խոցելիությունը մտահոգիչ էր, Unciphered-ի կողմից հայտնաբերված հարձակման վեկտորը չի կարող օգտագործվել հեռակա կարգով և պահանջում է «սարքի ապամոնտաժում և ֆիզիկական հասանելիություն լաբորատորիայում հատուկ FPGA սարքի միջոցով, որպեսզի հնարավոր լինի իրականացնել»:
Ըստ OneKey-ի, Unciphered-ի հետ նամակագրության ընթացքում պարզվել է, որ այլ դրամապանակներ եղել են հայտնաբերվել է նմանատիպ խնդիրներ.
«Մենք նաև վճարեցինք Unciphered-ի պարգևներ՝ շնորհակալություն հայտնելու նրանց OneKey-ի անվտանգությանը նպաստելու համար», - ասաց OneKey-ը:
Related: «Հալածում է ինձ մինչ օրս». Crypto նախագիծը կոտրվել է 4 միլիոն դոլարով հյուրանոցի նախասրահում
Իր բլոգային գրառման մեջ OneKey-ն ասել է, որ արդեն մեծ ջանքեր է գործադրել՝ ապահովելու իր օգտատերերի անվտանգությունը, ներառյալ նրանց պաշտպանելը: մատակարարման շղթայի հարձակումները — երբ հաքերը փոխարինում է իսկական դրամապանակը իր կողմից վերահսկվող դրամապանակով:
OneKey-ի միջոցառումները ներառում են առաքումների համար խափանումներ չպարունակող փաթեթավորում և Apple-ի մատակարարման շղթայի ծառայություններ մատուցողների օգտագործումը՝ մատակարարման շղթայի անվտանգության խիստ կառավարումն ապահովելու համար:
Ապագայում նրանք հուսով են ներդնել նույնականացում և արդիականացնել ավելի նոր ապարատային դրամապանակները՝ անվտանգության ավելի բարձր մակարդակի բաղադրիչներով:
OneKey-ը գրել է, որ հիմնական ապարատային դրամապանակների նպատակը միշտ եղել է օգտատերերի փողերը չարամիտ հարձակումներից, համակարգչային վիրուսներից և այլ հեռավոր վտանգներից պաշտպանելու համար, բայց, ցավոք, ոչինչ չի կարող 100% անվտանգ լինել:
«Երբ մենք նայում ենք ապարատային դրամապանակների արտադրության ողջ գործընթացին՝ սիլիցիումի բյուրեղներից մինչև չիպերի կոդ, որոնվածից մինչև ծրագրակազմ, կարելի է վստահորեն ասել, որ բավարար գումարի, ժամանակի և ռեսուրսների առկայության դեպքում ցանկացած սարքաշարային արգելք կարող է խախտվել, նույնիսկ եթե դա միջուկային զենք է։ կառավարման համակարգ."
Աղբյուր՝ https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second