Unciphéré révèle maintenant une vulnérabilité patch dans un portefeuille OneKey

In einem YouTube-Video, das auf ihrem Kanal geteilt wurde, demonstrierte das Cybersicherheitsteam von Unciphered eine kritische Sicherheitslücke für die OneKey-Brieftasche, die sie während der Recherche entdeckt hatten. Wie bei der White-Hat-Entdeckung von Schwachstellen üblich, wurde das Video veröffentlicht, nachdem es gepatcht wurde. Fehlende übliche Verschlüsselung Unciphered, ein Cybersicherheits-Startup, dessen Hauptaugenmerk auf der Wiederherstellung verlorener Kryptos für Kunden liegt, die keinen Zugriff mehr auf ihre Brieftaschen haben, hat das Problem vermutlich aufgedeckt, als es versuchte, Gelder für einen Kunden zurückzuerhalten. In dem Video wird eine OneKey-Brieftasche zerlegt und manipuliert, wobei das Unciphered-Team eine Hardware einfügt, die die Kommunikation zwischen der CPU …
Dans une vidéo YouTube qui a été divisée sur sa chaîne, l'équipe de cybersécurité sans faille a démontré une vulnérabilité critique pour le sac de lettres OneKey qu'ils avaient découvert lors de la recherche. Comme d'habitude avec la découverte de vulnérabilités en chatte blanche, la vidéo a été publiée après sa réparation. Le cryptage habituel manquant sans pitié, une startup de cybersécurité, dont l'objectif principal est de restaurer les cryptos perdus pour les clients qui n'ont plus accès à leurs portefeuilles, a probablement découvert le problème que d'essayer de récupérer de l'argent pour un client. Dans la vidéo, un sac de lettres OneCey est décomposé et manipulé, par lequel l'équipe non pichée insère du matériel que la communication entre le processeur ...
Krypto News Österreich
Artikel als PDF
Kommentare
Diesen Artikel teilen:
Facebook X Whatsapp Email

Dans une vidéo YouTube qui a été partagée sur sa chaîne, l'équipe de cybersécurité sans faille a démontré une vulnérabilité critique pour le sac de lettres OneKey qu'ils avaient découvert lors de la recherche.

Comme d'habitude avec la découverte des faiblesses en chatte blanche, la vidéo a été publiée après sa réparation.

Encryption habituel manquant

INCIRÉE, une startup de cybersécurité, l'objectif principal de la restauration des cryptos perdus pour les clients qui n'ont plus accès à leurs conteneurs, ont probablement découvert le problème lorsqu'il a essayé de récupérer de l'argent pour un client. Dans la vidéo, une poche de lettre OneCey est décomposée et manipulée, par laquelle l'équipe non pichée insère du matériel qui surveille la communication entre le CPU du portefeuille et son unité sécurisée.

En général, la communication entre le CPU et l'unité sûre - où les mnémoniques et la cryptographie sont stockées - est cryptée. Cependant, cela ne semble pas être le cas avec les portefeuilles OneKey.

"Habituellement, la communication entre le CPU, où le traitement a lieu et l'élément sécurisé est crypté. Eh bien, il s'avère que dans ce cas, il n'a pas été construit pour cela. Vous pouvez donc installer un outil au milieu qui surveille la communication puis insérer ses propres commandes."

contourner le mode d'usine

En insérant leur matériel entre le CPU et l'unité sûre, l'équipe non calclée a pu faire croire à l'appareil qu'il était en mode d'usine, qui a ensuite transféré les Mnémoniques à l'équipe de l'équipe.

"Nous avons fait ce qu'il dit ensuite à l'élément sécurisé qu'il s'agit en mode d'usine et que nous pouvons retirer leurs mnémoniques."

Cela aurait permis à un mauvais acteur qui aurait pu découvrir le point faible pour avoir accès au portefeuille dès qu'il a été reconstitué.

Notre réponse aux rapports actuels sur les prêts de sécurité https://t.co/dp9nnp1d0u

-oneKey Open-Source Brief Bag (@onekeyhq) 10. Février 2023 Il convient de noter qu'il aurait été nécessaire que la mise en œuvre de ce hack ait un accès physique de l'attaquant à l'appareil car il ne pouvait pas être effectué à distance. Néanmoins, il est important de noter que l'emplacement d'un portefeuille matériel peut être divulgué, par exemple, la blessure du grand livre dans laquelle les données des clients du portefeuille ont été divulguées, qui exposées aux vols potentiels et aux tentatives d'extorsion simples.

Heureusement, le problème a maintenant été résolu en raison de la communication entre les deux sociétés. Pour ses efforts, UNCICHEDED a reçu un montant non divulgué du programme Bugy Bounty de OneKey.

Kommentare (0)