בסרטון יוטיוב ששותף בערוץ שלהם, צוות אבטחת הסייבר ב-Unciphered הדגים פגיעות אבטחה קריטית עבור ארנק OneKey שגילו במהלך מחקר.
כמקובל לגבי גילוי הכובע הלבן של פגיעויות, הסרטון שוחרר לאחר תיקון.
חסר הצפנה רגילה
Unciphered, סטארט-אפ בתחום אבטחת סייבר שהמיקוד העיקרי שלו הוא שחזור קריפטו אבוד עבור לקוחות שכבר אין להם גישה לארנקים שלהם, ככל הנראה חשף את הבעיה תוך כדי ניסיון לשחזר כספים עבור לקוח. בתוך ה וידאו, ארנק OneKey מפורק ומתופעל, כאשר צוות Unciphered מכניס פיסת חומרה שניתרה את התקשורת בין ה-CPU של הארנק ליחידה המאובטחת שלו.
בדרך כלל, התקשורת בין ה-CPU ליחידה המאובטחת - שבה מאוחסנים הזיכרון והקריפטו - מוצפנת. עם זאת, עבור ארנקי OneKey, נראה שזה לא היה המקרה.
"בדרך כלל, התקשורת מוצפנת בין המעבד, שבו מתבצע העיבוד, לבין האלמנט המאובטח. ובכן, מסתבר שזה לא תוכנן לעשות זאת במקרה הזה. אז מה שאתה יכול לעשות זה לשים באמצע כלי שעוקב אחר התקשורת ומיירט אותם, ואז מזריק פקודות משלו".
מעקף מצב מפעל
על ידי הכנסת רכיב החומרה שלהם בין ה-CPU ליחידה המאובטחת, הצוות ב-Unciphered יכול להערים על המכשיר לחשוב שהוא במצב מפעל, ואז זרק את המנמונית על המכשיר של הצוות.
פרסומת
"עשינו את זה במקום שבו הוא אומר לרכיב המאובטח שהוא במצב מפעל, ואנחנו יכולים להוציא את הזיכרון שלך."
זה היה מאפשר לשחקן גרוע שהיה יכול לגלות את הפגיעות לקבל גישה לארנק ברגע שהוא הורכב מחדש.
התגובה שלנו לדוחות תיקון אבטחה אחרונים https://t.co/Dp9nNp1D0U
— ארנק קוד פתוח של OneKey (@OneKeyHQ) פברואר 10, 2023
ראוי לציין כי על מנת לבצע את הפריצה הזו, היה צורך לשחקן גרוע לקבל גישה פיזית למכשיר, מכיוון שלא ניתן לבצע אותה מרחוק. עם זאת, חשוב לציין כי ניתן לחשוף את מיקומו של ארנק חומרה - קחו למשל את הפרת Ledger, שבה נחשפו הנתונים של לקוחות הארנק, מה שמשאיר אותם פתוחים לגניבות אפשריות וגם לסחיטה פשוטה ניסיונות.
למרבה המזל, הבעיה תוקנה כעת עקב תקשורת בין שתי החברות. על מאמציהם, Unciphered קיבלה סכום לא ידוע מתוכנית הבאונטי של OneKey.
Binance חינם $100 (בלעדי): השתמש בקישור זה להירשם ולקבל 100$ בחינם ו-10% הנחה על עמלות על Binance Futures בחודש הראשון (מונחים).
מבצע מיוחד של PrimeXBT: השתמש בקישור זה כדי להירשם ולהזין את קוד POTATO50 כדי לקבל עד $7,000 על ההפקדות שלך.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/
- 000
- 1
- 10
- 7
- a
- גישה
- לאחר
- AI
- כמות
- ו
- מנסה
- רקע
- רע
- באנר
- בֵּין
- binance
- עתיד בינאנס
- גבול
- הבאונטי
- תוכנית השפע
- הפרה
- חרק
- באג באונטי
- מקרה
- ערוץ
- לקוחות
- קוד
- צֶבַע
- תקשורת
- תקשורת
- חברות
- תוכן
- יכול
- קריטי
- קריפטו
- לקוח
- אבטחת סייבר
- נתונים
- מופגן
- פיקדונות
- מכשיר
- DID
- גילה
- תגלית
- בְּמַהֲלָך
- מַאֲמָצִים
- מוצפן
- להנות
- זן
- דוגמה
- בלעדי
- חשוף
- חיצוני
- סחיטה
- מפעל
- אגרות
- ראשון
- לסדר
- להתמקד
- חופשי
- החל מ-
- כספים
- עתידים
- לְהַשִׂיג
- לפרוץ
- חומרה
- ארנק חומרה
- כובע
- אולם
- HTTPS
- חשוב
- in
- פנימי
- סוגיה
- IT
- עזיבה
- פנקס
- מיקום
- עוד
- ראשי
- מניפולציות
- שולים
- אמצע
- יכול
- מצב
- פיקוח
- צגים
- הכרחי
- אף על פי כן
- הַצָעָה
- מפתח אחד
- לפתוח
- קוד פתוח
- להזמין
- שֶׁלוֹ
- לְבַצֵעַ
- גופני
- לְחַבֵּר
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- פוטנציאל
- תהליך
- תָכְנִית
- גם
- קריאה
- לקבל
- קיבלו
- לאחרונה
- להחלים
- מחלים
- הירשם
- שוחרר
- דוחות לדוגמא
- מחקר
- תגובה
- מגלה
- לבטח
- אבטחה
- פגיעות אבטחה
- שיתוף
- משותף
- פָּשׁוּט
- So
- מוצק
- מָקוֹר
- מיוחד
- ממומן
- סטארט - אפ
- מאוחסן
- לקחת
- נבחרת
- אומר
- השמיים
- גניבות
- שֶׁלָהֶם
- חושב
- ל
- כלי
- יחידה
- וִידֵאוֹ
- פגיעויות
- פגיעות
- ארנק
- ארנקים
- מה
- אשר
- בזמן
- לבן
- מי
- ראוי
- היה
- אתה
- YouTube
- זפירנט