Өөрийн суваг дээр хуваалцсан YouTube-ийн видео бичлэг дээр Unciphered-ийн кибер аюулгүй байдлын баг судалгааны явцад олж илрүүлсэн OneKey түрийвчний аюулгүй байдлын ноцтой эмзэг байдлыг харуулсан.
Цагаан малгайт эмзэг байдлыг илрүүлдэг заншил ёсоор уг видеог засварласны дараа гаргасан.
Уламжлалт шифрлэлт дутмаг
Түрийвчээ ашиглах боломжгүй болсон үйлчлүүлэгчдэд алдагдсан криптог сэргээхэд гол анхаарлаа хандуулдаг “Unciphered” кибер аюулгүй байдлын гарааны компани үйлчлүүлэгчийнхээ мөнгийг эргүүлэн авах гэж оролдох зуураа асуудлыг илрүүлсэн байх. Дахь видео, OneKey түрийвчийг задалж, өөрчилдөг бөгөөд Unciphered багийнхан түрийвчний CPU болон түүний аюулгүй нэгжийн хоорондын харилцаа холбоог хянадаг техник хангамжийг оруулдаг.
Ерөнхийдөө мнемоник болон крипто хадгалагдаж буй CPU ба аюулгүй нэгжийн хоорондох холбоо шифрлэгдсэн байдаг. Гэсэн хэдий ч OneKey түрийвчний хувьд энэ нь тийм биш байсан бололтой.
"Ерөнхийдөө харилцаа холбоо нь боловсруулалт хийгдэж буй CPU болон хамгаалалтын элементийн хооронд шифрлэгдсэн байдаг. За, энэ тохиолдолд үүнийг хийхээр төлөвлөөгүй нь харагдаж байна. Тиймээс та юу хийж чадах вэ гэвэл харилцаа холбоог хянаж, таслан зогсоож, дараа нь өөрийн командуудыг оруулдаг хэрэгсэл байрлуулж болно."
Үйлдвэрийн горимыг тойрч гарах
Unciphered-ийн баг өөрсдийн техник хангамжийг CPU болон хамгаалалтын нэгжийн хооронд оруулснаар төхөөрөмжийг үйлдвэрийн горимд байгаа гэж хуурч, улмаар мнемоникийг багийн төхөөрөмж рүү хаясан байна.
"Бид үүнийг аюулгүй байдлын элементэд үйлдвэрийн горимд байгаа гэж заасан тохиолдолд хийсэн бөгөөд бид таны мнемоникийг авч болно."
Энэ нь эмзэг байдлыг олж мэдсэн муу жүжигчин түрийвчээ дахин угсарсны дараа түүнд нэвтрэх боломжийг олгох байсан.
Сүүлийн үеийн аюулгүй байдлын засварын тайланд өгсөн бидний хариулт https://t.co/Dp9nNp1D0U
- OneKey нээлттэй эхийн түрийвч (@OneKeyHQ) Хоёрдугаар сарын 10, 2023
Энэ хакердалтыг гүйцэтгэхийн тулд алсаас гүйцэтгэх боломжгүй тул муу жүжигчин төхөөрөмжид биечлэн хандах шаардлагатай байсан гэдгийг тэмдэглэх нь зүйтэй. Гэсэн хэдий ч, тоног төхөөрөмжийн түрийвчний байршил ил гарч болзошгүй гэдгийг анхаарах нь чухал юм - жишээ нь түрийвчний үйлчлүүлэгчдийн мэдээлэл ил гарсан, тэднийг боломжит хулгай, түүнчлэн энгийн дээрэмдэх зэрэгт нээлттэй үлдээсэн Ledger зөрчлийг авч үзье. оролдлого.
Аз болоход, хоёр компани хоорондын харилцаа холбоо тогтоогдсоны улмаас асуудал шийдэгдсэн. Тэдний хүчин чармайлтын төлөө Unciphered OneKey-ийн алдааны шагналын хөтөлбөрөөс тодорхойгүй дүнг хүлээн авсан.
Binance Үнэгүй 100 доллар (онцгой): Энэ холбоосыг ашиглана уу бүртгүүлж, эхний сард Binance Futures дээр 100 доллар үнэгүй, 10% хөнгөлөлт авах (нэр томьёо).
PrimeXBT Тусгай санал: Энэ холбоосыг ашиглана уу бүртгүүлээд POTATO50 кодыг оруулаад 7,000 доллар хүртэл хадгаламжаа аваарай.
Эх сурвалж: https://cryptopotato.com/unciphered-reveals-now-patched-vulnerability-in-onekey-wallet/