У ИоуТубе видео снимку који је подељен на њиховом каналу, тим за сајбер безбедност у Унципхеред-у показао је критичну безбедносну рањивост за ОнеКеи новчаник коју су открили током истраживања.
Као што је уобичајено за откривање рањивости белог шешира, видео је објављен након што је закрпљен.
Недостаје уобичајено шифровање
Унципхеред, стартуп за сајбер безбедност чији је главни фокус враћање изгубљене криптовалуте за клијенте који више немају приступ својим новчаницима, вероватно је открио проблем док је покушавао да поврати средства за клијента. У видео, ОнеКеи новчаник се раставља и манипулише, а тим за Унципхеред убацује део хардвера који је надгледао комуникацију између ЦПУ-а новчаника и његове безбедне јединице.
Генерално, комуникација између ЦПУ-а и безбедне јединице – где се чувају мнемоника и крипто – је шифрована. Међутим, за ОнеКеи новчанике, изгледа да то није био случај.
„Уобичајено, комуникација је шифрована између ЦПУ-а, где се врши обрада, и безбедног елемента. Па, испоставило се да у овом случају то није било пројектовано. Дакле, оно што бисте могли да урадите је да ставите алатку у средину која надгледа комуникације и пресреће их, а затим убацује сопствене команде.
Заобилажење фабричког режима
Уметањем свог дела хардвера између ЦПУ-а и безбедне јединице, тим у Унципхеред-у је могао да превари уређај да помисли да је у фабричком режиму, који је затим пребацио мнемонику на уређај тима.
„То смо урадили тако што он онда каже безбедном елементу да је у фабричком режиму и можемо да извадимо вашу мнемонику.“
Ово би омогућило лошем глумцу који је могао да открије рањивост да добије приступ новчанику када се поново састави.
Наш одговор на недавне извештаје о безбедносним поправкама https://t.co/Dp9nNp1D0U
— ОнеКеи новчаник отвореног кода (@ОнеКеиХК) Фебруар КСНУМКС, КСНУМКС
Вреди напоменути да је за извођење овог хаковања било неопходно да лош глумац има физички приступ уређају, јер се то не може извести на даљину. Без обзира на то, важно је напоменути да локација хардверског новчаника може бити откривена – узмите пробој Ледгер-а, на пример, где су подаци клијената новчаника били изложени, остављајући их отвореним за потенцијалне крађе, као и за једноставну изнуду. покушаји.
Срећом, проблем је сада закрпљен због комуникације између две компаније. За своје напоре, Унципхеред је добио неоткривени износ од ОнеКеи-овог програма за награђивање грешака.
Бинанце бесплатно $100 (ексклузивно): Користите ову везу да се региструјете и добијете 100 $ бесплатно и 10% попуста на Бинанце Футурес првог месеца (услови).
ПримеКСБТ специјална понуда: Користите ову везу да се региструјете и унесете ПОТАТО50 код да бисте добили до 7,000 долара на своје депозите.
Извор: хттпс://цриптопотато.цом/унципхеред-ревеалс-нов-патцхед-вулнерабилити-ин-онекеи-валлет/