Bảng tỷ giá 
Bạn đang ở:
100 
Unciphered đã đăng một video cho thấy "Lỗ hổng nghiêm trọng lớn" trong OneKey Mini. Những người sáng tạo lưu ý rằng nó đã được vá và hiện đang làm việc để tăng cường bảo mật cho ví.
Nhà cung cấp ví phần cứng tiền điện tử OneKey cho biết họ đã giải quyết một lỗ hổng bảo mật trong chương trình cơ sở cho phép một trong các ví phần cứng của họ bị tấn công chỉ trong một giây.
Vào ngày 10 tháng 2, một video trên YouTube do công ty khởi nghiệp về an ninh mạng Unciphered đăng tải cho thấy họ đã tìm ra cách khai thác "Lỗ hổng nghiêm trọng lớn" để "bẻ khóa" OneKey Mini.
Theo Eric Michaud, một đối tác tại Unciphered, bằng cách tháo rời thiết bị và chèn mã hóa, có thể đưa OneKey Mini về chế độ xuất xưởng và bỏ qua chốt bảo mật, cho phép kẻ tấn công tiềm năng xóa cụm từ ghi nhớ được sử dụng để khôi phục ví .
"Bạn có CPU và phần tử bảo mật. Phần tử bảo mật là nơi bạn giữ các khóa mật mã của mình. Thông thường, thông tin liên lạc hiện nay được mã hóa giữa CPU, nơi quá trình xử lý được thực hiện và phần tử bảo mật," Michaud giải thích.
"Chà, hóa ra nó không được thiết kế để làm như vậy trong tình huống này. Vì vậy, điều bạn có thể làm là đặt một công cụ ở giữa để giám sát các liên lạc và chặn chúng, sau đó đưa ra các lệnh của riêng chúng," ông nói thêm:
"Chúng tôi đã làm điều đó khi nó thông báo cho phần tử bảo mật rằng nó đang ở chế độ xuất xưởng và chúng tôi có thể loại bỏ khả năng ghi nhớ của bạn, đó là tiền của bạn bằng tiền điện tử."
Tuy nhiên, trong một tuyên bố ngày 10 tháng 2, OneKey cho biết họ đã giải quyết lỗ hổng bảo mật được xác định bởi Unciphered, đồng thời lưu ý rằng nhóm phần cứng của họ đã cập nhật bản vá bảo mật "vào đầu năm nay" mà không "bất kỳ ai bị ảnh hưởng" và rằng "Tất cả đã được tiết lộ các lỗ hổng đã hoặc đang được khắc phục."
Our Response to Recent Security Fix Reports https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) February 10, 2023
"Điều đó nói rằng, với các cụm từ mật khẩu và các biện pháp bảo mật cơ bản, ngay cả các cuộc tấn công vật lý do Unciphered tiết lộ cũng sẽ không ảnh hưởng đến người dùng OneKey."
Công ty nhấn mạnh thêm rằng bất chấp việc có liên quan đến lỗ hổng bảo mật, phương thức tấn công được xác định bởi Unciphered không thể đạt được từ xa và yêu cầu "tháo rời thiết bị và truy cập vật lý thông qua một thiết bị FPGA chuyên dụng trong phòng thí nghiệm để có thể thực thi."
Theo OneKey, trong quá trình trao đổi thư từ với Unciphered, người ta đã tiết lộ rằng các ví khác đã được phát hiện có vấn đề tương tự.
"Chúng tôi cũng đã trả tiền thưởng cho Unciphered để cảm ơn họ vì những đóng góp của họ cho bảo mật của OneKey," OneKey cho biết.
Trong bài đăng trên blog của mình, OneKey cho biết họ đã nỗ lực hết sức để đảm bảo an toàn cho người dùng, bao gồm bảo vệ họ khỏi các cuộc tấn công chuỗi cung ứng — khi tin tặc thay thế ví chính hãng bằng ví do họ kiểm soát, một lĩnh vực trọng tâm cụ thể.
Các biện pháp của OneKey bao gồm đóng gói chống giả mạo cho việc giao hàng và sử dụng các nhà cung cấp dịch vụ chuỗi cung ứng của Apple để đảm bảo quản lý an ninh chuỗi cung ứng nghiêm ngặt.
Trong tương lai, họ hy vọng sẽ triển khai xác thực tích hợp và nâng cấp ví phần cứng mới hơn với các thành phần bảo mật cấp cao hơn.
OneKey lưu ý rằng mục đích chính của ví phần cứng luôn là bảo vệ tiền của người dùng khỏi các cuộc tấn công của phần mềm độc hại, vi-rút máy tính và các mối nguy hiểm từ xa khác, nhưng thừa nhận rằng rất tiếc, không có gì có thể an toàn 100%.
"Khi chúng tôi xem xét toàn bộ quy trình sản xuất ví phần cứng, từ tinh thể silicon đến mã chip, từ phần sụn đến phần mềm, có thể nói rằng với đủ tiền, thời gian và nguồn lực, bất kỳ rào cản phần cứng nào cũng có thể bị phá vỡ, kể cả đó là hạt nhân. hệ thống kiểm soát vũ khí."
Theo CoinTelegraph
|
|
Tags: Ví tiền điện tử, OneKey, Tin tặc, Unciphered, An ninh mạng,
