تیم امنیت سایبری در Unciphered در یک ویدیوی یوتیوب که در کانال خود به اشتراک گذاشته شد، یک آسیبپذیری امنیتی حیاتی را برای کیف پول OneKey که در طول تحقیق کشف کردند، نشان دادند.
همانطور که برای کشف آسیبپذیریهای کلاه سفید مرسوم است، ویدیو پس از اصلاح منتشر شد.
عدم وجود رمزگذاری مرسوم
Unciphered، یک استارت آپ امنیت سایبری که تمرکز اصلی آن بازیابی رمزنگاری گمشده برای مشتریانی است که دیگر به کیف پول خود دسترسی ندارند، احتمالاً هنگام تلاش برای بازیابی وجوه برای یک مشتری، این مشکل را کشف کرد. در تصویری، یک کیف پول OneKey جدا شده و دستکاری می شود و تیم Unciphered قطعه سخت افزاری را وارد می کند که ارتباطات بین CPU کیف پول و واحد امن آن را نظارت می کند.
به طور کلی، ارتباط بین CPU و واحد امن - جایی که حافظه و رمزنگاری ذخیره می شود - رمزگذاری شده است. با این حال، برای کیف پولهای OneKey، به نظر میرسد که اینطور نبوده است.
"به طور معمول، ارتباطات بین CPU، جایی که پردازش انجام می شود، و عنصر امن رمزگذاری می شود. خوب، معلوم است که در این مورد مهندسی نشده است. بنابراین کاری که میتوانید انجام دهید این است که ابزاری را در وسط قرار دهید که ارتباطات را کنترل میکند و آنها را رهگیری میکند و سپس دستورات خود را تزریق میکند.»
دور زدن حالت کارخانه
تیم Unciphered با قرار دادن قطعه سختافزار خود بین CPU و واحد امن، میتواند دستگاه را فریب دهد تا فکر کند در حالت کارخانه است و سپس یادداشت را روی دستگاه تیم ریخت.
تبلیغات
ما این کار را در جایی انجام دادیم که به عنصر امن میگوید در حالت کارخانه است و میتوانیم یادگاری شما را حذف کنیم.
این به بازیگر بدی که میتوانست آسیبپذیری را کشف کند، این امکان را میدهد که پس از جمعآوری مجدد کیف، به آن دسترسی پیدا کند.
پاسخ ما به گزارشهای اخیر تعمیرات امنیتی https://t.co/Dp9nNp1D0U
— کیف پول منبع باز OneKey (@OneKeyHQ) فوریه 10، 2023
شایان ذکر است که برای انجام این هک لازم بود بازیگر بدی به دستگاه دسترسی فیزیکی داشته باشد زیرا از راه دور قابل اجرا نبود. با این وجود، توجه به این نکته مهم است که محل یک کیف پول سخت افزاری می تواند فاش شود - مثلاً نقض Ledger را در نظر بگیرید، جایی که داده های مشتریان کیف پول در معرض دید قرار گرفته است و آنها را در معرض سرقت های احتمالی و همچنین اخاذی های ساده قرار می دهد. تلاش.
خوشبختانه این مشکل اکنون به دلیل ارتباط بین دو شرکت برطرف شده است. برای تلاشهای آنها، Unciphered مبلغی نامشخص از برنامه پاداش باگ OneKey دریافت کرد.
100 دلار رایگان بایننس (انحصاری): از این لینک استفاده کنید برای ثبت نام و دریافت 100 دلار هزینه رایگان و 10 درصد تخفیف در ماه اول Binance Futures (قوانین و مقررات).
پیشنهاد ویژه PrimeXBT: از این لینک استفاده کنید برای ثبت نام و وارد کردن کد POTATO50 تا سقف 7,000 دلار در سپرده های خود دریافت کنید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/
- 000
- 1
- 10
- 7
- a
- دسترسی
- پس از
- AI
- مقدار
- و
- تلاش
- زمینه
- بد
- پرچم
- میان
- بنیان
- آینده Binance
- مرز
- بخشش
- برنامه فوجی
- شکاف
- اشکال
- فضل اشکال
- مورد
- کانال
- مشتریان
- رمز
- رنگ
- ارتباط
- ارتباطات
- شرکت
- محتوا
- میتوانست
- بحرانی
- عضو سازمانهای سری ومخفی
- مشتری
- امنیت سایبری
- داده ها
- نشان
- سپرده
- دستگاه
- DID
- کشف
- کشف
- در طی
- تلاش
- رمزگذاری
- لذت بردن
- وارد
- مثال
- انحصاری
- قرار گرفتن در معرض
- خارجی
- اخاذی
- کارخانه
- هزینه
- نام خانوادگی
- رفع
- تمرکز
- رایگان
- از جانب
- بودجه
- آینده
- افزایش
- هک
- سخت افزار
- کیف پول سخت افزار
- است
- اما
- HTTPS
- مهم
- in
- داخلی
- موضوع
- IT
- ترک
- دفتر کل
- محل
- دیگر
- اصلی
- دستکاری شده
- حاشیه
- متوسط
- قدرت
- حالت
- نظارت
- مانیتور
- لازم
- با این اوصاف
- ارائه
- یک کلید
- باز کن
- منبع باز
- سفارش
- خود
- انجام
- فیزیکی
- قطعه
- افلاطون
- هوش داده افلاطون
- PlatoData
- پتانسیل
- در حال پردازش
- برنامه
- قرار دادن
- مطالعه
- گرفتن
- اخذ شده
- اخیر
- بهبود یافتن
- بازیابی
- ثبت نام
- منتشر شد
- گزارش ها
- تحقیق
- پاسخ
- فاش می کند
- امن
- تیم امنیت لاتاری
- آسیب پذیری امنیتی
- اشتراک گذاری
- به اشتراک گذاشته شده
- ساده
- So
- جامد
- منبع
- ویژه
- حمایت مالی
- شروع
- ذخیره شده
- گرفتن
- تیم
- می گوید
- La
- دزدی
- شان
- تفکر
- به
- ابزار
- واحد
- تصویری
- آسیب پذیری ها
- آسیب پذیری
- کیف پول
- کیف پول
- چی
- که
- در حین
- سفید
- WHO
- با ارزش
- خواهد بود
- شما
- شما
- یوتیوب
- زفیرنت