Sin valor que ahora revela vulnerabilidad parcheada en una billetera OneKey

In einem YouTube-Video, das auf ihrem Kanal geteilt wurde, demonstrierte das Cybersicherheitsteam von Unciphered eine kritische Sicherheitslücke für die OneKey-Brieftasche, die sie während der Recherche entdeckt hatten. Wie bei der White-Hat-Entdeckung von Schwachstellen üblich, wurde das Video veröffentlicht, nachdem es gepatcht wurde. Fehlende übliche Verschlüsselung Unciphered, ein Cybersicherheits-Startup, dessen Hauptaugenmerk auf der Wiederherstellung verlorener Kryptos für Kunden liegt, die keinen Zugriff mehr auf ihre Brieftaschen haben, hat das Problem vermutlich aufgedeckt, als es versuchte, Gelder für einen Kunden zurückzuerhalten. In dem Video wird eine OneKey-Brieftasche zerlegt und manipuliert, wobei das Unciphered-Team eine Hardware einfügt, die die Kommunikation zwischen der CPU …
En un video de YouTube que se dividió en su canal, el equipo de seguridad cibernética sin valor demostró una vulnerabilidad crítica para la bolsa de cartas OneKey que habían descubierto durante la investigación. Como de costumbre, con el descubrimiento de vulnerabilidades de sombrero blanco, el video se publicó después de que fue parcheado. Falta de cifrado habitual sin valor, una startup de seguridad cibernética, cuyo enfoque principal es restaurar los criptos perdidos para los clientes que ya no tienen acceso a sus billeteras, probablemente ha descubierto el problema de lo que intentó recuperar el dinero para un cliente. En el video, una bolsa de letras de Onecey se descompone y manipula, por lo que el equipo no acertado inserta hardware que la comunicación entre la CPU ...
Krypto News Österreich
Artikel als PDF
Kommentare
Diesen Artikel teilen:
Facebook X Whatsapp Email

En un video de YouTube que se compartió en su canal, el equipo de seguridad cibernética sin valor demostró una vulnerabilidad crítica para la bolsa de letras OneKey que habían descubierto durante la investigación.

Como de costumbre con el descubrimiento de debilidades de sombrero blanco, el video se publicó después de que fue parcheado.

Falta de cifrado habitual

UnciPhered, una startup de seguridad cibernética, el enfoque principal de la restauración de los criptos perdidos para los clientes que ya no tienen acceso a sus contenedores, probablemente descubrió el problema cuando intentó recuperar el dinero para un cliente. En el video, se descompone y manipula un bolsillo de la letra de Onecey, por lo que el equipo no hiperigencial inserta hardware que monitorea la comunicación entre la CPU de la billetera y su unidad segura.

En general, se almacena la comunicación entre la CPU y la unidad segura, donde se almacenan mnemónicos y criptografía. Sin embargo, este no parece ser el caso con las billeteras OneKey.

"Por lo general, la comunicación entre la CPU, donde el procesamiento tiene lugar y el elemento seguro está encriptado. Bueno, resulta que en este caso no se construyó para ella. Por lo tanto, puede instalar una herramienta en el medio que monitorea la comunicación y luego insertar sus propios comandos".

bypass en modo de fábrica

Al insertar su hardware entre la CPU y la unidad segura, el equipo sin valor pudo hacer que el dispositivo creyera que estaba en modo de fábrica, lo que luego transfirió los mnemónicos al equipo del equipo.

"Hicimos lo que luego le dice al elemento seguro que está en modo de fábrica y que podemos eliminar sus mnemónicos".

Esto habría hecho posible que un mal actor que podría haber descubierto el punto débil para obtener acceso a la billetera tan pronto como se reuniera nuevamente.

Nuestra respuesta a los informes actuales sobre préstamos de seguridad https://t.co/dp9nnp1d0u

-Onekey Open-Source Brief bag (@onekeyhq) 10. February 2023

Vale la pena señalar que habría sido necesario que la implementación de este truco tenga un acceso físico del atacante al dispositivo porque no podría llevarse a cabo de forma remota. Sin embargo, es importante tener en cuenta que la ubicación de una billetera de hardware se puede divulgar, por ejemplo, la lesión del libro mayor en la que se han revelado los datos de los clientes de la billetera, que se expusieron a posibles robos y intentos de extorsión simples.

Afortunadamente, el problema ahora se ha resuelto debido a la comunicación entre las dos compañías. Por sus esfuerzos, UnciPhered recibió una cantidad no revelada del programa Bug Bounty de OneKey.

.

Krypto News Österreich
Artikel als PDF
Kommentare
Diesen Artikel teilen:
Facebook X Whatsapp Email
In einem YouTube-Video, das auf ihrem Kanal geteilt wurde, demonstrierte das Cybersicherheitsteam von Unciphered eine kritische Sicherheitslücke für die OneKey-Brieftasche, die sie während der Recherche entdeckt hatten. Wie bei der White-Hat-Entdeckung von Schwachstellen üblich, wurde das Video veröffentlicht, nachdem es gepatcht wurde. Fehlende übliche Verschlüsselung Unciphered, ein Cybersicherheits-Startup, dessen Hauptaugenmerk auf der Wiederherstellung verlorener Kryptos für Kunden liegt, die keinen Zugriff mehr auf ihre Brieftaschen haben, hat das Problem vermutlich aufgedeckt, als es versuchte, Gelder für einen Kunden zurückzuerhalten. In dem Video wird eine OneKey-Brieftasche zerlegt und manipuliert, wobei das Unciphered-Team eine Hardware einfügt, die die Kommunikation zwischen der CPU …
En un video de YouTube que se dividió en su canal, el equipo de seguridad cibernética sin valor demostró una vulnerabilidad crítica para la bolsa de cartas OneKey que habían descubierto durante la investigación. Como de costumbre, con el descubrimiento de vulnerabilidades de sombrero blanco, el video se publicó después de que fue parcheado. Falta de cifrado habitual sin valor, una startup de seguridad cibernética, cuyo enfoque principal es restaurar los criptos perdidos para los clientes que ya no tienen acceso a sus billeteras, probablemente ha descubierto el problema de lo que intentó recuperar el dinero para un cliente. En el video, una bolsa de letras de Onecey se descompone y manipula, por lo que el equipo no acertado inserta hardware que la comunicación entre la CPU ...

Kommentare (0)