Suche
Mein Konto
Unsiphered ujawnia teraz łatać wrażliwość w portfelu OneKey
W filmie na YouTube, który został podzielony na jej kanał, niefarowany zespół bezpieczeństwa cybernetycznego wykazał krytyczną podatność na torbę z listą Onekey, którą odkryli podczas badań. Jak zwykle w przypadku odkrycia luk w białych hatach, wideo zostało opublikowane po jego załataniu. Brakuje zwykłego szyfrowania, który jest niezniszczony, start -upy cyberbezpieczeństwa, którego głównym celem jest przywrócenie utraconych kryptów dla klientów, którzy nie mają już dostępu do swoich portfeli, prawdopodobnie odkrył problem, niż próbował odzyskać pieniądze dla klienta. Na filmie torba listewowa jest rozkładana i manipulowana, przy czym usunięty zespół wstawia sprzęt, że komunikacja między procesorem ...
Unsiphered ujawnia teraz łatać wrażliwość w portfelu OneKey
W filmie na YouTube, który został udostępniony na jej kanale, niefarowany zespół bezpieczeństwa cybernetycznego wykazał krytyczną podatność na torbę z listą OneKey, którą odkryli podczas badań.
Jak zwykle w przypadku odkrycia słabości białych hat, wideo zostało opublikowane po jego załataniu.
Brak zwykłego szyfrowania
Unsiphered, cyberbezpieczeństwo, główny cel przywrócenia Lost Cryptos dla klientów, którzy nie mają już dostępu do swoich kontenerów, prawdopodobnie odkrył problem, gdy próbował odzyskać pieniądze dla klienta. Na filmie rozkłada się i manipulowana kieszonką listu Onecey, przy czym usunięty zespół wstawia sprzęt, który monitoruje komunikację między procesorem portfela a jego bezpieczną jednostką.
Ogólnie rzecz biorąc, komunikacja między procesorem a bezpieczną jednostką - w której przechowywane są mnemoniki i kryptografia - jest szyfrowana. Wydaje się jednak, że tak nie jest w przypadku Portfel OneKey.
„Zwykle komunikacja między procesorem, w którym odbywa się przetwarzanie, a bezpiecznym elementem jest szyfrowane. Okazuje się, że w tym przypadku nie został dla niego skonstruowany. Więc możesz zainstalować narzędzie pośrodku, które monitoruje komunikację, a następnie wstawić własne polecenia”.
obejście w trybie fabrycznym
Wkładając sprzęt między CPU a bezpieczną jednostką, niefrasowany zespół był w stanie sprawić, by urządzenie wierzy, że było to w trybie fabrycznym, który następnie przekazał mnemoniki do zespołu zespołu.
„Zrobiliśmy to, co następnie mówi bezpieczny element, że jest on w trybie fabrycznym i możemy wyjąć ich mnemoniki”.
Umożliwiłoby to złemu aktora, który mógł odkryć słaby punkt, aby uzyskać dostęp do portfela, gdy tylko został ponownie złożony.
Nasza odpowiedź na bieżące raporty dotyczące pożyczek bezpieczeństwa https://t.co/dp9nnp1d0u
-oneKey Open-Source krótka torba (@oneKeyHQ) 10. lutego 2023
Warto zauważyć, że konieczne byłoby wdrożenie tego hacka, aby mieć fizyczny dostęp do urządzenia atakującego, ponieważ nie można go było przeprowadzić zdalnie. Niemniej jednak należy zauważyć, że lokalizację portfela sprzętowego można ujawnić, na przykład obrażenia księgi, w której ujawniono dane klientów z portfela, które wystawiły się na potencjalne kradzieże i proste próby wymuszenia. Na szczęście problem został rozwiązany z powodu komunikacji między obiema firmami. Za jej wysiłki Unsiphered otrzymała nieujawnioną kwotę z programu nagród błędów od OneKey.