OneKey, אַ פירמע וואָס גיט קריפּטאָגראַפיק ייַזנוואַרג וואָלאַץ, האט געזאגט אַז עס האט שוין פּאַטשט אַ פלאָ אין זייַן פירמוואַרע וואָס געמאכט עס מעגלעך פֿאַר איינער פון זייַן ייַזנוואַרג וואָלאַץ צו זיין קאַמפּראַמייזד אין אונטער איין רגע.
Unciphered, אַ פירמע אין די פעלד פון סייבערסעקוריטי, האט געזאגט אין אַ ווידעא וואָס איז געווען ופּלאָאַדעד אויף יאָוטובע אויף פעברואר 10 אַז עס האט דיסקאַווערד אַ מיטל צו "ברעכן" אַ OneKey Mini דורך ניצן אַ "מאַסיוו הויפּט פלאָ" און עקספּלויטינג עס.
עס איז געווען מעגלעך, לויט Eric Michaud, אַ שוטעף אין Unciphered, צו צוריקקומען די OneKey Mini צו "פאַבריק מאָדע" און בייפּאַס די זיכערהייט שטיפט דורך דיסאַסעמבאַלינג די מיטל און ינסערטינג קאָדירונג. דאָס וואָלט לאָזן אַ פּאָטענציעל אַטאַקער צו באַזייַטיקן די מנעמאָניק פראַזע וואָס איז געניצט צו צוריקקריגן אַ בייַטל. דאָס איז געווען מעגלעך דורך צוריקקומען די מיטל צו "פאַבריק מאָדע."
"איר האָט די הויפט פּראַסעסינג אַפּאַראַט ווי געזונט ווי די זיכערהייט עלעמענט. דיין קריפּטאָגראַפיק שליסלען וועט שטענדיק זיין סטאָרד אין די זיכער עלעמענט. Michaud באמערקט אַז אין אַ טיפּיש סיטואַציע, די קאַנעקשאַנז צווישן די הויפט פּראַסעסינג אַפּאַראַט (CPU), וואָס איז ווו די פּראַסעסינג איז דורכגעקאָכט, און די זיכער עלעמענט זענען ינקריפּטיד.
"נו, ווי עס טורנס אויס, אין דעם באַזונדער בייַשפּיל, עס איז נישט געבויט צו טאָן דאָס. "וואָס איר קען טאָן איז שטעלן אַ געצייַג אין די מיטל וואָס מאָניטאָרס די קאָמוניקאַציע און ינטערסעפּט זיי און דערנאָך ינדזשעקטיד זייער אייגענע קאַמאַנדז," ער האט געזאגט, צוגעלייגט: "וואָס איז געזאָגט, מיט פּאַראָל פראַסעס און יקערדיק זיכערהייט פּראַקטיסיז, אפילו פיזיש אנפאלן דיסקלאָוזד דורך ונסיפערעד וועט נישט ווירקן OneKey יוזערז.
די פירמע האָט ווייטער אונטערגעשטראָכן אַז טראָץ דעם וואָס די וואַלנעראַביליטי איז געווען וועגן, די באַפאַלן וועקטאָר וואָס איז דיסקאַווערד דורך Unciphered קענען ניט זיין רימאָוטלי געניצט. אַנשטאָט, עס דאַרף "דיסאַססעמבלי פון די מיטל און פיזיש אַקסעס דורך אַ דעדאַקייטאַד FPGA מיטל אין די לאַבאָראַטאָריע" צו זיין מעגלעך צו ויספירן.
לויט OneKey, נאָך דיסקוסיע מיט Unciphered, עס איז געווען דיוואַלווד אַז אנדערע וואָלאַץ האָבן ענלעך שוועריקייטן. דאָס איז געווען דיסקלאָוזד ווען עס איז געווען דיסקאַווערד אַז אנדערע וואָלאַץ האָבן די זעלבע אַרויסגעבן.
OneKey האָט געזאָגט אז זיי האָבן פארגיטיקט Unciphered מיט באַנטיעס ווי אַ וועג צו אויסדריקן דאנקבארקייט פֿאַר זייער קאַנטראַביושאַנז צו די פירמע 'ס זיכערהייט.
OneKey האט געזאגט אין אַ בלאָג פּאָסטן אַז עס האט שוין גענומען באַטייטיק פּריקאָשאַנז צו באַוואָרענען די זיכערקייַט פון זייַן קאַסטאַמערז. די פּריקאָשאַנז אַרייַננעמען פּראַטעקטינג קאַסטאַמערז קעגן צושטעלן קייט אַסאָלץ, וואָס פאַלן ווען אַ העקער ריפּלייסיז אַ פאַקטיש בייַטל מיט איינער וואָס איז אונטער זייער קאָנטראָל.
טאַמפּער-דערווייַז פּאַקקאַגינג פֿאַר טראַנספּאָרט איז געווען איינער פון די סטעפּס גענומען דורך OneKey, צוזאַמען מיט די נוצן פון עפּל ס אייגענע צושטעלן קייט סערוויס פּראַוויידערז פֿאַר די ציל פון ינשורינג ענג צושטעלן קייט זיכערהייט פאַרוואַלטונג.
זיי האָבן אַספּעריישאַנז צו לייגן אַנבאָרד אָטענטאַקיישאַן אין דער ניט צו ווייַט צוקונפֿט און צו דערהייַנטיקן מער פריש ייַזנוואַרג וואָלאַץ מיט העכער-מדרגה זיכערהייט קאַמפּאָונאַנץ.
לויט וואָס OneKey האָט געזאָגט, איז די ערשטיק אָביעקטיוו פון ייַזנוואַרג וואָלאַץ שטענדיק געווען צו באַוואָרענען די פינאַנציעל אַסעץ פון יוזערז פון סייבער-אַטאַקס, קאָמפּיוטער ווירוסעס און אנדערע פּאָטענציעל טרעץ; דאך, ליידער, גאָרנישט קענען זיין גאָר זיכער.
"ווען מיר קוקן אין די גאנצע מאַנופאַקטורינג פּראָצעס פון ייַזנוואַרג וואָלאַץ, פון סיליציום קריסטאַלז צו שפּאָן קאָד, פון פירמוואַרע צו סאָפטווער, עס איז זיכער צו זאָגן אַז קיין ייַזנוואַרג באַריער קענען זיין בריטשט מיט גענוג געלט, צייט און רעסורסן; אפילו אויב עס איז אַ יאָדער וואָפן קאָנטראָל סיסטעם. ” "ווען מיר קוקן אין די גאנצע מאַנופאַקטורינג פּראָצעס פון ייַזנוואַרג וואָלאַץ, פון סיליציום קריסטאַלז צו שפּאָן קאָד, פון פירמוואַרע צו ווייכווארג,"
מקור: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked