Каналында бөлүшүлгөн YouTube видеосунда Unciphered киберкоопсуздук тобу изилдөө учурунда табылган OneKey капчыгы үчүн коопсуздуктун олуттуу кемчилигин көрсөтүштү.
Адаттагыдай эле, ак калпактан аялуу жерлерди табуу үчүн, видео такталгандан кийин чыгарылды.
Адаттагы шифрлөөнүн жоктугу
Unciphered, киберкоопсуздук боюнча стартап, анын негизги максаты капчыктарына кире албай калган кардарлар үчүн жоголгон криптолорду калыбына келтирүүгө багытталган, кыязы, кардардын акчасын калыбына келтирүүгө аракет кылып жатып, маселенин бетин ачты. Ичинде Video, OneKey капчыгы демонтаждалат жана манипуляцияланат, Unciphered командасы капчыктын CPU менен анын коопсуз бирдигинин ортосундагы байланышты көзөмөлдөгөн жабдыктын бир бөлүгүн киргизет.
Жалпысынан алганда, CPU менен коопсуз блоктун ортосундагы байланыш - мнемоникалык жана крипто сакталган жерде - шифрленген. Бирок, OneKey капчыктары үчүн бул андай эмес окшойт.
«Адатта, байланыш процесси процесси аткарылган CPU менен коопсуз элементтин ортосунда шифрленген. Ооба, бул учурда мындай кылуу үчүн иштелип чыккан эмес экен. Демек, сиз ортого байланыштарды көзөмөлдөп, аларды кармап турган куралды коюп, андан кийин өзүнүн буйруктарын киргизе аласыз.
Заводдук режимди айланып өтүү
Процессор менен коопсуз блоктун ортосуна өздөрүнүн аппараттык бөлүгүн киргизүү менен, Unciphered командасы аппаратты заводдук режимде деп алдап, мнемониканы команданын түзмөгүнө ташташы мүмкүн.
"Биз муну жасаганбыз, анда ал коопсуз элемент заводдук режимде экенин айтат жана биз сиздин мнемоникаңызды алып чыга алабыз."
Бул капчыкты кайра чогулткандан кийин алсыздыкты тапкан жаман актерго мүмкүнчүлүк бермек.
Коопсуздукту оңдоо боюнча акыркы отчетторго биздин жообубуз https://t.co/Dp9nNp1D0U
— OneKey ачык булак капчыгы (@OneKeyHQ) February 10, 2023
Белгилей кетсек, бул хакерликти ишке ашыруу үчүн начар актер аппаратка физикалык кирүү мүмкүнчүлүгүнө ээ болушу керек болчу, анткени аны алыстан аткаруу мүмкүн эмес. Ошого карабастан, аппараттык капчыктын жайгашкан жери ачыкка чыгышы мүмкүн экенин белгилей кетүү маанилүү – мисалы, капчыктын кардарларынын маалыматтары ачыкка чыгып, аларды потенциалдуу уурулуктарга, ошондой эле жөнөкөй опузалап алууга ачык калтырган Ledger бузууну алалы. аракет.
Бактыга жараша, эки компаниянын ортосундагы байланыштан улам бул маселе чечилди. Алардын аракеттери үчүн Unciphered OneKey'дин мүчүлүштүктөр үчүн сыйлык программасынан белгисиз сумманы алды.
Binance Акысыз $100 (Эксклюзив): бул шилтемени колдонуу Каттоо жана биринчи айда Binance Futures боюнча $100 бекер жана 10% арзандатуу жыйымдарын алуу (шарттары).
PrimeXBT атайын сунушу: бул шилтемени колдонуу каттоодон өтүңүз жана депозиттериңиз боюнча 50 долларга чейин алуу үчүн POTATO7,000 кодун киргизиңиз.
Булак: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/