Unciphered OneKey वॉलेट में नाओ-पैच्ड भेद्यता का खुलासा करता है

अपने चैनल पर साझा किए गए YouTube वीडियो में, Unciphered की साइबर सुरक्षा टीम ने शोध के दौरान खोजे गए OneKey वॉलेट के लिए एक महत्वपूर्ण सुरक्षा भेद्यता का प्रदर्शन किया।

जैसा कि कमजोरियों की सफेद टोपी की खोज के लिए प्रथागत है, वीडियो को पैच किए जाने के बाद जारी किया गया था।

प्रथागत एन्क्रिप्शन की कमी

Unciphered, एक साइबर सुरक्षा स्टार्टअप जिसका मुख्य ध्यान उन ग्राहकों के लिए खोए हुए क्रिप्टो को पुनर्प्राप्त करना है, जिनके पास अब अपने बटुए तक पहुंच नहीं है, संभवतः एक ग्राहक के लिए धन की वसूली का प्रयास करते समय इस मुद्दे को उजागर किया। में वीडियो, एक OneKey वॉलेट को डिसअसेंबल और मैनिपुलेट किया जाता है, जिसमें Unciphered टीम हार्डवेयर का एक टुकड़ा डालती है जो वॉलेट के CPU और उसकी सुरक्षित इकाई के बीच संचार की निगरानी करती है।

आम तौर पर, सीपीयू और सुरक्षित इकाई के बीच संचार - जहां स्मरक और क्रिप्टो संग्रहीत होते हैं - एन्क्रिप्टेड होते हैं। हालाँकि, OneKey बटुए के लिए, ऐसा प्रतीत होता है कि ऐसा नहीं था।

"आम तौर पर, संचार सीपीयू, जहां प्रसंस्करण किया जाता है, और सुरक्षित तत्व के बीच एन्क्रिप्ट किया जाता है। खैर, यह पता चला है कि इस मामले में ऐसा करने के लिए इसे तैयार नहीं किया गया था। तो आप जो कर सकते हैं वह बीच में एक उपकरण है जो संचार पर नज़र रखता है और उन्हें इंटरसेप्ट करता है, और फिर अपने स्वयं के आदेशों को इंजेक्ट करता है।

फैक्टरी मोड बाईपास

सीपीयू और सिक्योर यूनिट के बीच अपने हार्डवेयर का टुकड़ा डालने से, अनसिफर्ड की टीम डिवाइस को फ़ैक्टरी मोड में सोचने के लिए धोखा दे सकती है, जिसने फिर टीम के डिवाइस पर मेनेमोनिक को डंप कर दिया।

"हमने वह किया जहां यह फ़ैक्टरी मोड में सुरक्षित तत्व को बताता है, और हम आपके mnemonics को बाहर निकाल सकते हैं।"

यह एक बुरे अभिनेता को अनुमति देता है जो एक बार फिर से इकट्ठा होने के बाद बटुए तक पहुंच प्राप्त करने के लिए भेद्यता की खोज कर सकता था।

हाल की सुरक्षा सुधार रिपोर्ट पर हमारी प्रतिक्रिया https://t.co/Dp9nNp1D0U
- वनकी ओपन सोर्स वॉलेट (@OneKeyHQ) फ़रवरी 10, 2023

यह ध्यान देने योग्य है कि इस हैक को करने के लिए, एक खराब अभिनेता के लिए डिवाइस तक भौतिक पहुंच होना जरूरी होता, क्योंकि इसे दूरस्थ रूप से निष्पादित नहीं किया जा सकता था। फिर भी, यह ध्यान रखना महत्वपूर्ण है कि हार्डवेयर वॉलेट का स्थान उजागर किया जा सकता है - उदाहरण के लिए, उदाहरण के लिए, जहां वॉलेट क्लाइंट का डेटा उजागर किया गया था, उन्हें संभावित चोरी के साथ-साथ सरल जबरन वसूली के लिए खुला छोड़ दिया गया था। प्रयास.

शुक्र है कि दोनों कंपनियों के बीच संवाद के कारण अब इस मुद्दे को सुलझा लिया गया है। उनके प्रयासों के लिए, Unciphered को OneKey के बग बाउंटी प्रोग्राम से एक अज्ञात राशि प्राप्त हुई।

विशेष पेशकश (प्रायोजित)
बिनेंस फ्री $ 100 (अनन्य): इस लिंक का उपयोग करें बिनेंस फ्यूचर्स पर पहले महीने रजिस्टर करने और $100 मुफ़्त और 10% की छूट प्राप्त करने के लिए (शर्तों).

प्राइमएक्सबीटी स्पेशल ऑफर: इस लिंक का उपयोग करें अपनी जमा राशि पर $50 तक प्राप्त करने के लिए POTATO7,000 कोड दर्ज करने और दर्ज करने के लिए।

स्रोत: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/