टेक

OneKey का कहना है कि इसमें फिक्स दोष है जिससे इसका हार्डवेयर वॉलेट 1 सेकंड में हैक हो गया

02/13/2023
बिटकॉइन एथेरियम समाचार

क्रिप्टो हार्डवेयर वॉलेट प्रदाता वनकी का कहना है कि उसने पहले से ही अपने फर्मवेयर में एक भेद्यता को संबोधित किया है जिससे उसके एक हार्डवेयर वॉलेट को एक दूसरे फ्लैट में हैक किया जा सकता है।

YouTube पर एक वीडियो तैनात 10 फरवरी को साइबर सुरक्षा स्टार्टअप द्वारा अनसिफर्ड ने दिखाया कि उन्होंने "बड़े पैमाने पर महत्वपूर्ण भेद्यता" का फायदा उठाने का एक तरीका निकाला है जिससे उन्हें वनकी मिनी को "दरार खोलने" की अनुमति मिली।

अनसिफर्ड के पार्टनर एरिक मिचौड के अनुसार, डिवाइस को अलग करके और कोडिंग डालकर, वनकी मिनी को "फ़ैक्टरी मोड" में वापस करना और सुरक्षा पिन को बायपास करना संभव था, जिससे एक संभावित हमलावर को पुनर्प्राप्त करने के लिए उपयोग किए जाने वाले स्मरक वाक्यांश को हटाने की अनुमति मिलती है। बटुआ। 

छवि

"आपके पास सीपीयू और सुरक्षित तत्व है। सुरक्षित तत्व वह है जहाँ आप अपनी क्रिप्टो कुंजियाँ रखते हैं। अब, आम तौर पर, संचार सीपीयू, जहां प्रसंस्करण किया जाता है, और सुरक्षित तत्व के बीच एन्क्रिप्ट किया जाता है," मिकॉड ने समझाया।

"ठीक है, यह पता चला है कि इस मामले में ऐसा करने के लिए इसे इंजीनियर नहीं किया गया था। तो आप जो कर सकते हैं, वह बीच में एक उपकरण है जो संचार पर नज़र रखता है और उन्हें इंटरसेप्ट करता है और फिर अपने स्वयं के आदेशों को इंजेक्ट करता है," उन्होंने कहा:

"हमने वह किया जहां यह फ़ैक्टरी मोड में सुरक्षित तत्व को बताता है और हम आपके mnemonics को बाहर निकाल सकते हैं, जो कि क्रिप्टो में आपका पैसा है।"

हालाँकि, 10 फरवरी के एक बयान में, OneKey ने कहा कि यह पहले ही हो चुका था संबोधित Unciphered द्वारा पहचाने गए सुरक्षा दोष, यह देखते हुए कि इसकी हार्डवेयर टीम ने "इस वर्ष की शुरुआत में" "किसी को प्रभावित किए बिना" सुरक्षा पैच अपडेट किया था और यह कि "सभी प्रकट कमजोरियों को ठीक किया गया है या किया जा रहा है।"

"उस ने कहा, पासवर्ड वाक्यांशों और बुनियादी सुरक्षा प्रथाओं के साथ, यहां तक ​​कि अनसिफर्ड द्वारा बताए गए शारीरिक हमले भी OneKey उपयोगकर्ताओं को प्रभावित नहीं करेंगे।" 

कंपनी ने आगे इस बात पर प्रकाश डाला कि जबकि भेद्यता संबंधित थी, अनसिफर्ड द्वारा पहचाने गए हमले के वेक्टर को दूरस्थ रूप से उपयोग नहीं किया जा सकता है और इसके लिए "डिवाइस को अलग करना और प्रयोगशाला में एक समर्पित एफपीजीए डिवाइस के माध्यम से भौतिक पहुंच की आवश्यकता होती है ताकि इसे निष्पादित किया जा सके।"

OneKey के अनुसार, Unciphered के साथ पत्राचार के दौरान, यह खुलासा किया गया कि अन्य वॉलेट्स भी हैं समान मुद्दे पाए गए.

OneKey ने कहा, “हमने OneKey की सुरक्षा में उनके योगदान के लिए उन्हें धन्यवाद देने के लिए Unciphered इनामों का भुगतान भी किया।”

संबंधित: 'आज तक मुझे परेशान करता है' - एक होटल की लॉबी में क्रिप्टो प्रोजेक्ट को $4M के लिए हैक कर लिया गया

अपने ब्लॉग पोस्ट में, वनकी ने कहा है कि उसने अपने उपयोगकर्ताओं की सुरक्षा सुनिश्चित करने के लिए पहले से ही काफी मेहनत की है, जिसमें उन्हें सुरक्षित रखना भी शामिल है। आपूर्ति श्रृंखला हमले - जब कोई हैकर असली वॉलेट को उसके द्वारा नियंत्रित वॉलेट से बदल देता है। 

OneKey के उपायों में डिलीवरी के लिए टैम्पर-प्रूफ पैकेजिंग और कठोर आपूर्ति श्रृंखला सुरक्षा प्रबंधन सुनिश्चित करने के लिए Apple से आपूर्ति श्रृंखला सेवा प्रदाताओं का उपयोग शामिल है।

भविष्य में, वे ऑनबोर्ड प्रमाणीकरण को लागू करने और नए हार्डवेयर वॉलेट को उच्च-स्तरीय सुरक्षा घटकों के साथ अपग्रेड करने की उम्मीद करते हैं।

वनकी ने लिखा है कि main हार्डवेयर वॉलेट का उद्देश्य हमेशा उपयोगकर्ताओं के पैसे को मैलवेयर के हमलों, कंप्यूटर वायरस और अन्य दूरस्थ खतरों से बचाने के लिए रहा है, लेकिन दुर्भाग्य से, कुछ भी 100% सुरक्षित नहीं हो सकता। 

"जब हम संपूर्ण हार्डवेयर वॉलेट निर्माण प्रक्रिया को देखते हैं, सिलिकॉन क्रिस्टल से लेकर चिप कोड तक, फर्मवेयर से सॉफ्टवेयर तक, यह कहना सुरक्षित है कि पर्याप्त धन, समय और संसाधनों के साथ, किसी भी हार्डवेयर अवरोध को भंग किया जा सकता है, भले ही वह परमाणु हथियार हो नियंत्रण प्रणाली।"