Necifrat dezvăluie acum vulnerabilitate patch în portofelul Onekey

Necifrat dezvăluie acum vulnerabilitate patch în portofelul Onekey

Într -un videoclip YouTube care a fost distribuit pe canalul ei, echipa de securitate cibernetică neființată a demonstrat o vulnerabilitate critică pentru geanta de scrisori Onekey pe care au descoperit -o în timpul cercetării.

Ca de obicei, cu descoperirea de slăbiciuni albă, videoclipul a fost publicat după ce a fost patch.

lipsește criptarea obișnuită

necifirat, o pornire de securitate cibernetică, principalul obiectiv al restaurării criptelor pierdute pentru clienții care nu mai au acces la containerele lor, probabil a descoperit problema atunci când a încercat să recupereze bani pentru un client. În videoclip, un buzunar cu scrisoare din Oneece este defalcat și manipulat, prin care echipa necifrată introduce hardware care monitorizează comunicarea dintre procesorul portofelului și unitatea sa sigură.

În general, comunicarea între procesor și unitatea sigură - unde sunt stocate mnemonice și criptografie - este criptată. Totuși, acest lucru nu pare să fie cazul portofelelor Onekey.

"De obicei, comunicarea dintre procesor, unde are loc procesarea și elementul sigur este criptat. Ei bine, se dovedește că, în acest caz, nu a fost construit pentru aceasta. Deci, puteți instala un instrument la mijloc care monitorizează comunicarea și apoi să inserați propriile comenzi."

bypass în modul fabrică

prin introducerea hardware -ului între CPU și unitatea sigură, echipa necifrată a fost capabilă să facă dispozitivul să creadă că a fost în modul fabrică, care apoi a transferat mnemonics în echipa echipei.

"Am făcut ceea ce spune apoi elementul sigur că este în modul fabrică și le putem scoate mnemonicele."

Acest lucru ar fi făcut posibil pentru un actor rău care ar fi putut descoperi punctul slab pentru a avea acces la portofel imediat ce a fost pus din nou la punct.

Răspunsul nostru la rapoartele actuale privind împrumuturile de securitate https://t.co/dp9nnp1d0u

-Onekey Open-Source Brief Bing (@OneKeyHQ) 10. Este demn de remarcat faptul că ar fi fost necesar ca punerea în aplicare a acestui hack să aibă un acces fizic atacator la dispozitiv, deoarece nu a putut fi efectuat de la distanță. Cu toate acestea, este important de menționat că locația unui portofel hardware poate fi dezvăluită, de exemplu, vătămarea de evidență în care au fost dezvăluite datele de la portofelul clienților, care au fost expuse la furtuni potențiale și încercări simple de extorsiune.