يقول OneKey ، مزود محفظة الأجهزة المشفرة ، إنه عالج بالفعل ثغرة أمنية في برامجه الثابتة التي سمحت باختراق إحدى محافظ أجهزته في ثانية واحدة.
فيديو على موقع يوتيوب نشر في 10 فبراير من قبل شركة ناشئة للأمن السيبراني Unciphered أظهروا أنهم اكتشفوا طريقة لاستغلال "ثغرة حرجة هائلة" سمحت لهم "بفتح" OneKey Mini.
وفقًا لـ Eric Michaud ، الشريك في Unciphered ، من خلال تفكيك الجهاز وإدخال الترميز ، كان من الممكن إعادة OneKey Mini إلى "وضع المصنع" وتجاوز دبوس الأمان ، مما يسمح للمهاجم المحتمل بإزالة عبارة ذاكري المستخدمة لاستعادة محفظة.
"لديك وحدة المعالجة المركزية والعنصر الآمن. العنصر الآمن هو المكان الذي تحتفظ فيه بمفاتيح التشفير. الآن ، عادة ، يتم تشفير الاتصالات بين وحدة المعالجة المركزية ، حيث تتم المعالجة ، والعنصر الآمن ".
"حسنًا ، اتضح أنه لم يتم تصميمه للقيام بذلك في هذه الحالة. لذا فإن ما يمكنك فعله هو وضع أداة في المنتصف تراقب الاتصالات وتعترضها ثم تقوم بحقن أوامرها الخاصة "، كما قال ، مضيفًا:
"لقد فعلنا ذلك حيث يخبر العنصر الآمن أنه في وضع المصنع ويمكننا إخراج فن الإستذكار الخاص بك ، وهو أموالك في التشفير."
ومع ذلك ، في بيان صدر في 10 فبراير ، قالت شركة OneKey إنها فعلت ذلك بالفعل تناولت الثغرة الأمنية التي حددتها Unciphered ، مع الإشارة إلى أن فريق الأجهزة لديها قد قام بتحديث التصحيح الأمني "في وقت سابق من هذا العام" دون "تأثر أي شخص" وأن "جميع الثغرات الأمنية التي تم الكشف عنها قد تم إصلاحها أو يتم إصلاحها".
استجابتنا لتقارير إصلاح الأمان الأخيرة https://t.co/Dp9nNp1D0U
- محفظة OneKey مفتوحة المصدر (OneKeyHQ) 10 فبراير 2023
"ومع ذلك ، مع عبارات كلمات المرور وممارسات الأمان الأساسية ، حتى الهجمات المادية التي تم الكشف عنها بواسطة Unciphered لن تؤثر على مستخدمي OneKey."
أبرزت الشركة أيضًا أنه في حين أن الثغرة الأمنية كانت مقلقة ، لا يمكن استخدام ناقل الهجوم الذي تم تحديده بواسطة Unciphered عن بُعد ويتطلب "تفكيك الجهاز والوصول المادي من خلال جهاز FPGA مخصص في المختبر ليكون ممكنًا تنفيذه".
وفقًا لـ OneKey ، أثناء المراسلات مع Unciphered ، تم الكشف عن وجود محافظ أخرى وجدت أن لديها مشاكل مماثلة.
قال OneKey: "لقد دفعنا أيضًا مكافآت Unciphered لشكرهم على مساهماتهم في أمان OneKey".
هذا الموضوع ذو علاقة بـ: "يطاردني حتى يومنا هذا" - تم اختراق مشروع Crypto مقابل 4 ملايين دولار في بهو فندق
قالت OneKey في منشورها على المدونة إنها بذلت جهدًا كبيرًا لضمان أمان مستخدميها ، بما في ذلك حمايتهم من هجمات سلسلة التوريد - عندما يستبدل المخترق محفظة أصلية بمحفظة يتحكم فيها.
تضمنت إجراءات OneKey تغليفًا غير قابل للعبث لعمليات التسليم واستخدام مزودي خدمة سلسلة التوريد من Apple لضمان إدارة صارمة لأمن سلسلة التوريد.
في المستقبل ، يأملون في تنفيذ مصادقة داخلية وترقية محافظ الأجهزة الأحدث بمكونات أمان عالية المستوى.
كتب OneKey أن الملف الرئيسي الغرض من محافظ الأجهزة كان دائمًا لحماية أموال المستخدمين من هجمات البرامج الضارة وفيروسات الكمبيوتر والمخاطر الأخرى عن بُعد ، ولكن لسوء الحظ ، لا شيء يمكن أن يكون آمنًا بنسبة 100٪.
"عندما ننظر إلى عملية تصنيع حافظة الأجهزة بالكامل ، بدءًا من بلورات السيليكون إلى رمز الرقاقة ، ومن البرامج الثابتة إلى البرامج ، فمن الآمن أن نقول إنه بوجود ما يكفي من المال والوقت والموارد ، يمكن اختراق أي حاجز للأجهزة ، حتى لو كان سلاحًا نوويًا نظام التحكم."
المصدر: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second