क्रिप्टोग्राफ़िक हार्डवेयर वॉलेट प्रदान करने वाली कंपनी OneKey ने कहा है कि उसने पहले से ही अपने फ़र्मवेयर में एक दोष को ठीक कर लिया है जिससे उसके एक हार्डवेयर वॉलेट को एक सेकंड के भीतर समझौता करना संभव हो गया है।
साइबर सुरक्षा के क्षेत्र में एक फर्म, अनसिफर्ड ने 10 फरवरी को YouTube पर अपलोड किए गए एक वीडियो में कहा कि उसने एक "विशाल प्रमुख दोष" का लाभ उठाकर और उसका शोषण करके एक OneKey मिनी को "ब्रेक ओपन" करने का एक तरीका खोज लिया है।
Unciphered के पार्टनर Eric Michaud के अनुसार, OneKey Mini को "फ़ैक्टरी मोड" पर लौटाना और डिवाइस को अलग करके और कोडिंग डालकर सुरक्षा पिन को बायपास करना संभव था। यह एक संभावित हमलावर को एक बटुए को पुनर्प्राप्त करने के लिए उपयोग किए जाने वाले स्मरक वाक्यांश को हटाने की अनुमति देगा। डिवाइस को "फ़ैक्टरी मोड" पर लौटाने से यह संभव हुआ।
"आपके पास केंद्रीय प्रसंस्करण इकाई के साथ-साथ सुरक्षा तत्व भी है। आपकी क्रिप्टोग्राफ़िक कुंजियाँ हमेशा सुरक्षित तत्व में संग्रहित रहेंगी। माइकौड ने कहा कि एक सामान्य स्थिति में, केंद्रीय प्रसंस्करण इकाई (सीपीयू) के बीच कनेक्शन, जहां प्रसंस्करण किया जाता है, और सुरक्षित तत्व एन्क्रिप्ट किया जाता है।
"ठीक है, जैसा कि यह निकला, इस विशेष उदाहरण में, यह ऐसा करने के लिए नहीं बनाया गया था। उन्होंने कहा, "आप जो कर सकते हैं, वह बीच में एक उपकरण है जो संचार पर नज़र रखता है और उन्हें इंटरसेप्ट करता है और फिर अपने स्वयं के आदेशों को इंजेक्ट करता है," उन्होंने कहा: "कहा जा रहा है, पासवर्ड वाक्यांशों और बुनियादी सुरक्षा प्रथाओं के साथ, यहां तक कि भौतिक हमलों का भी खुलासा किया गया है। Unciphered OneKey उपयोगकर्ताओं को प्रभावित नहीं करेगा।"
कंपनी ने इस बात पर जोर दिया कि भेद्यता संबंधित होने के बावजूद, अनसिफर्ड द्वारा खोजे गए अटैक वेक्टर का दूर से उपयोग नहीं किया जा सकता है। इसके बजाय, इसे निष्पादित करने के लिए संभव होने के लिए "प्रयोगशाला में एक समर्पित एफपीजीए डिवाइस के माध्यम से डिवाइस को अलग करना और भौतिक पहुंच" की आवश्यकता होती है।
OneKey के अनुसार, Unciphered के साथ चर्चा के बाद, यह खुलासा हुआ कि अन्य वॉलेट्स में समान कठिनाइयों का पता चला है। इसका खुलासा तब हुआ जब पता चला कि अन्य वॉलेट्स में भी यही समस्या थी।
OneKey ने कहा कि कंपनी की सुरक्षा में उनके योगदान के लिए आभार व्यक्त करने के तरीके के रूप में उन्होंने Unciphered को इनाम के रूप में मुआवजा दिया है।
OneKey ने एक ब्लॉग पोस्ट में कहा है कि उसने अपने ग्राहकों की सुरक्षा के लिए पहले ही महत्वपूर्ण सावधानी बरती है। इन सावधानियों में ग्राहकों को आपूर्ति श्रृंखला के हमलों से बचाना शामिल है, जो तब होता है जब एक हैकर एक वास्तविक वॉलेट को अपने नियंत्रण में रखने वाले वॉलेट से बदल देता है।
तंग आपूर्ति श्रृंखला सुरक्षा प्रबंधन सुनिश्चित करने के उद्देश्य से Apple की अपनी आपूर्ति श्रृंखला सेवा प्रदाताओं के उपयोग के साथ-साथ शिपमेंट के लिए टैम्पर-प्रूफ पैकेजिंग OneKey द्वारा उठाए गए कदमों में से एक रहा है।
वे बहुत दूर के भविष्य में ऑनबोर्ड प्रमाणीकरण जोड़ने और उच्च-स्तरीय सुरक्षा घटकों के साथ हाल के हार्डवेयर वॉलेट को अपडेट करने की आकांक्षा रखते हैं।
OneKey द्वारा कही गई बातों के अनुसार, हार्डवेयर वॉलेट का प्राथमिक उद्देश्य हमेशा उपयोगकर्ताओं की वित्तीय संपत्तियों को साइबर हमलों, कंप्यूटर वायरस और अन्य संभावित खतरों से सुरक्षित रखना रहा है; फिर भी, दुख की बात है कि कुछ भी पूरी तरह से सुरक्षित नहीं हो सकता।
"जब हम हार्डवेयर वॉलेट की संपूर्ण निर्माण प्रक्रिया को देखते हैं, तो सिलिकॉन क्रिस्टल से लेकर चिप कोड तक, फ़र्मवेयर से लेकर सॉफ्टवेयर, यह कहना सुरक्षित है कि किसी भी हार्डवेयर अवरोध को पर्याप्त धन, समय और संसाधनों से तोड़ा जा सकता है; भले ही यह परमाणु हथियार नियंत्रण प्रणाली हो।" "जब हम फर्मवेयर से सॉफ्टवेयर तक, सिलिकॉन क्रिस्टल से चिप कोड तक हार्डवेयर वॉलेट की पूरी निर्माण प्रक्रिया को देखते हैं,"
स्रोत: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked