V YouTubovem videoposnetku, ki so ga delili na njihovem kanalu, je skupina za kibernetsko varnost pri Unciphered pokazala kritično varnostno ranljivost denarnice OneKey, ki so jo odkrili med raziskavo.
Kot je običajno pri belem odkrivanju ranljivosti, je bil video objavljen, potem ko je bil popravljen.
Manjka običajno šifriranje
Unciphered, startup za kibernetsko varnost, katerega glavni poudarek je povrnitev izgubljenih kriptovalut za stranke, ki nimajo več dostopa do svojih denarnic, je verjetno odkril težavo, ko je poskušal izterjati sredstva za stranko. V video, je denarnica OneKey razstavljena in manipulirana, pri čemer je ekipa Unciphered vstavila kos strojne opreme, ki je nadzoroval komunikacijo med CPE denarnice in njeno varno enoto.
Na splošno je komunikacija med CPE in varno enoto – kjer sta shranjena mnemonika in šifra – šifrirana. Vendar se zdi, da za denarnice OneKey ni bilo tako.
»Običajno je komunikacija šifrirana med CPE, kjer poteka obdelava, in varnim elementom. No, izkazalo se je, da v tem primeru ni bilo zasnovano za to. Torej bi lahko na sredino postavili orodje, ki nadzoruje komunikacije in jih prestreza ter nato vnaša lastne ukaze.«
Factory Mode Bypass
Z vstavitvijo svojega dela strojne opreme med CPE in varno enoto je ekipa pri Unciphered lahko pretentala napravo, da je mislila, da je v tovarniškem načinu, kar je nato mnemoniko odvrglo v napravo ekipe.
"To smo storili, ko nato varnostnemu elementu sporoči, da je v tovarniškem načinu, in lahko odstranimo vaše mnemonike."
To bi slabemu igralcu, ki bi lahko odkril ranljivost, omogočilo dostop do denarnice, ko je bila ponovno sestavljena.
Naš odgovor na nedavna poročila o varnostnih popravkih https://t.co/Dp9nNp1D0U
— Odprtokodna denarnica OneKey (@OneKeyHQ) Februar 10, 2023
Treba je omeniti, da bi za izvedbo tega vdora moral imeti slab igralec fizični dostop do naprave, saj tega ni bilo mogoče izvesti na daljavo. Kljub temu je pomembno upoštevati, da je lokacija denarnice strojne opreme lahko razkrita – vzemimo za primer vdor v Ledger, kjer so bili razkriti podatki strank denarnice, zaradi česar so bili izpostavljeni morebitnim krajam in preprostemu izsiljevanju. poskusi.
Na srečo je bila težava zdaj popravljena zaradi komunikacije med obema podjetjema. Za svoja prizadevanja je Unciphered prejel nerazkriti znesek od OneKeyjevega programa nagrajevanja hroščev.
Binance brezplačno 100 $ (ekskluzivno): Uporabite to povezavo da se registrirate in prejmete 100 $ brezplačno in 10 % popusta na Binance Futures prvi mesec (Pogoji).
Posebna ponudba PrimeXBT: Uporabite to povezavo za registracijo in vnos kode POTATO50, da boste prejeli do 7,000 $ na svoje depozite.
Vir: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/