Во видеото на YouTube споделено на нивниот канал, тимот за сајбер безбедност во Unciphered покажа критична безбедносна ранливост за паричникот OneKey што го открија за време на истражувањето.
Како што е вообичаено за откривањето на ранливости со бела капа, видеото беше објавено откако беше закрпено.
Нема вообичаено шифрирање
Unciphered, стартап за сајбер-безбедност чиј главен фокус е враќање на изгубените крипто за клиенти кои веќе немаат пристап до нивните паричници, веројатно го откри проблемот додека се обидуваше да врати средства за клиент. Во Видео, паричникот OneKey се расклопува и манипулира, при што тимот на Unciphered вметнува парче хардвер што ја следи комуникацијата помеѓу процесорот на паричникот и неговата безбедна единица.
Општо земено, комуникацијата помеѓу процесорот и безбедната единица - каде што се складирани мнемониката и крипто - е шифрирана. Сепак, за паричниците OneKey, се чини дека тоа не беше случај.
„Нормално, комуникациите се шифрираат помеѓу процесорот, каде што се врши обработката, и безбедниот елемент. Па, излегува дека не било конструирано да го стори тоа во овој случај. Значи, она што можете да го направите е да ставите алатка во средината која ги следи комуникациите и ги пресретнува, а потоа ги инјектира сопствените команди“.
Бајпас на фабрички режим
Со вметнување на нивниот хардвер помеѓу процесорот и безбедната единица, тимот од Unciphered може да го измами уредот да мисли дека е во фабрички режим, што потоа го фрли мнемониката на уредот на тимот.
„Го направивме тоа каде што потоа му кажува на безбедниот елемент дека е во фабрички режим и можеме да ги извадиме вашите мнемоници“.
Ова ќе му овозможило на лошиот актер кој можел да ја открие ранливоста да добие пристап до паричникот откако ќе се состави повторно.
Нашиот одговор на неодамнешните извештаи за безбедносни поправки https://t.co/Dp9nNp1D0U
— Паричник со отворен код OneKey (@OneKeyHQ) Февруари 10, 2023
Вреди да се напомене дека за да се изврши ова хакирање, ќе беше неопходно лош актер да има физички пристап до уредот, бидејќи не можеше да се изврши од далечина. Како и да е, важно е да се забележи дека локацијата на хардверскиот паричник може да се открие - земете го прекршувањето на Леџер, на пример, каде што биле изложени податоците на клиентите на паричникот, оставајќи ги отворени за потенцијални кражби, како и за едноставни изнудувања. обиди.
За среќа, проблемот сега е закрпен поради комуникацијата помеѓу двете компании. За нивните напори, Unciphered доби неоткриена сума од програмата за баунтирање на грешки на OneKey.
Binance Free 100 $ (ексклузивно): Користете ја оваа врска да се регистрирате и да добиете бесплатни $100 и 10% попуст на таксите на Binance Futures првиот месец (услови).
PrimeXBT Специјална понуда: Користете ја оваа врска да се регистрирате и да го внесете кодот POTATO50 за да добиете до 7,000 УСД на вашите депозити.
Извор: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/