يقول OneKey إنه أصلح الخلل الذي تم اختراق محفظة أجهزته في ثانية واحدة

يقول OneKey ، مزود محفظة الأجهزة المشفرة ، إنه عالج بالفعل ثغرة أمنية في برامجه الثابتة التي سمحت باختراق إحدى محافظ أجهزته في ثانية واحدة.

في 10 فبراير، ظهر مقطع فيديو على موقع يوتيوب نشر من قبل شركة Unciphered الناشئة للأمن السيبراني، أظهروا أنهم اكتشفوا طريقة لاستغلال "ثغرة أمنية خطيرة هائلة" من أجل "فتح" OneKey Mini.

وفقًا لـ Eric Michaud ، الشريك في Unciphered ، من خلال تفكيك الجهاز وإدخال الترميز ، كان من الممكن إعادة OneKey Mini إلى "وضع المصنع" وتجاوز دبوس الأمان ، مما يسمح للمهاجم المحتمل بإزالة عبارة ذاكري المستخدمة لاستعادة محفظة. 

[المحتوى جزءا لا يتجزأ]

"لديك وحدة المعالجة المركزية والعنصر الآمن. العنصر الآمن هو المكان الذي تحتفظ فيه بمفاتيح التشفير. الآن ، عادة ، يتم تشفير الاتصالات بين وحدة المعالجة المركزية ، حيث تتم المعالجة ، والعنصر الآمن ".

"حسنًا ، اتضح أنه لم يتم تصميمه للقيام بذلك في هذه الحالة. لذا فإن ما يمكنك فعله هو وضع أداة في المنتصف تراقب الاتصالات وتعترضها ثم تقوم بحقن أوامرها الخاصة "، كما قال ، مضيفًا:

"لقد فعلنا ذلك حيث يخبر العنصر الآمن أنه في وضع المصنع ويمكننا إخراج فن الإستذكار الخاص بك ، وهو أموالك في التشفير."

ومع ذلك ، في بيان صدر في 10 فبراير ، قالت شركة OneKey إنها فعلت ذلك بالفعل تناولت الخلل الأمني ​​الذي حددته شركة Unciphered، مع الإشارة إلى أن فريق الأجهزة التابع لها قد قام بتحديث التصحيح الأمني ​​"في وقت سابق من هذا العام" دون أن "يتأثر أي شخص"، وأن "جميع نقاط الضعف التي تم الكشف عنها قد تم إصلاحها أو يتم إصلاحها".

استجابتنا لتقارير إصلاح الأمان الأخيرة https://t.co/Dp9nNp1D0U

- محفظة OneKey مفتوحة المصدر (OneKeyHQ) 10 فبراير 2023

"ومع ذلك ، مع عبارات كلمات المرور وممارسات الأمان الأساسية ، حتى الهجمات المادية التي تم الكشف عنها بواسطة Unciphered لن تؤثر على مستخدمي OneKey." 

أبرزت الشركة أيضًا أنه في حين أن الثغرة الأمنية كانت مقلقة ، لا يمكن استخدام ناقل الهجوم الذي تم تحديده بواسطة Unciphered عن بُعد ويتطلب "تفكيك الجهاز والوصول المادي من خلال جهاز FPGA مخصص في المختبر ليكون ممكنًا تنفيذه".

وفقًا لـ OneKey ، أثناء المراسلات مع Unciphered ، تم الكشف عن وجود محافظ أخرى وجدت أن لديها مشاكل مماثلة.

قال OneKey: "لقد دفعنا أيضًا مكافآت Unciphered لشكرهم على مساهماتهم في أمان OneKey".

هذا الموضوع ذو علاقة بـ: "يطاردني حتى يومنا هذا" - تم اختراق مشروع Crypto مقابل 4 ملايين دولار في بهو فندق

قالت OneKey في منشورها على المدونة إنها بذلت جهدًا كبيرًا لضمان أمان مستخدميها ، بما في ذلك حمايتهم من هجمات سلسلة التوريد - عندما يستبدل المخترق محفظة أصلية بمحفظة يتحكم فيها. 

تضمنت إجراءات OneKey تغليفًا غير قابل للعبث لعمليات التسليم واستخدام مزودي خدمة سلسلة التوريد من Apple لضمان إدارة صارمة لأمن سلسلة التوريد.

في المستقبل ، يأملون في تنفيذ مصادقة داخلية وترقية محافظ الأجهزة الأحدث بمكونات أمان عالية المستوى.

وأشار OneKey إلى أن الرئيسي الغرض من محافظ الأجهزة لقد كان هدفنا دائمًا هو حماية أموال المستخدمين من هجمات البرامج الضارة وفيروسات الكمبيوتر وغيرها من المخاطر البعيدة، ولكننا أقرنا أنه لسوء الحظ، لا يوجد شيء يمكن أن يكون آمنًا بنسبة 100%. 

"عندما ننظر إلى عملية تصنيع حافظة الأجهزة بالكامل ، بدءًا من بلورات السيليكون إلى رمز الرقاقة ، ومن البرامج الثابتة إلى البرامج ، فمن الآمن أن نقول إنه بوجود ما يكفي من المال والوقت والموارد ، يمكن اختراق أي حاجز للأجهزة ، حتى لو كان سلاحًا نوويًا نظام التحكم."

• محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
• بلاتوبلوكشين. Web3 Metaverse Intelligence. تضخيم المعرفة. الوصول هنا.
• المصدر https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second