OneKey, ບໍລິສັດທີ່ສະຫນອງ wallets ຮາດແວ cryptographic, ໄດ້ກ່າວວ່າມັນໄດ້ແກ້ໄຂຂໍ້ບົກພ່ອງໃນ firmware ຂອງຕົນແລ້ວທີ່ເຮັດໃຫ້ມັນເປັນໄປໄດ້ສໍາລັບຫນຶ່ງຂອງ hardware wallets ຂອງຕົນຖືກທໍາລາຍພາຍໃນຫນຶ່ງວິນາທີ.
Unciphered, ບໍລິສັດໃນດ້ານຄວາມປອດໄພທາງອິນເຕີເນັດ, ກ່າວໃນວິດີໂອທີ່ຖືກອັບໂຫລດໃນ YouTube ໃນວັນທີ 10 ເດືອນກຸມພາວ່າມັນໄດ້ຄົ້ນພົບວິທີການ "ເປີດ" OneKey Mini ໂດຍການໃຊ້ປະໂຫຍດຈາກ "ຂໍ້ບົກພ່ອງອັນໃຫຍ່ຫຼວງ" ແລະຂຸດຄົ້ນມັນ.
ມັນເປັນໄປໄດ້, ອີງຕາມ Eric Michaud, ຄູ່ຮ່ວມງານຂອງ Unciphered, ເພື່ອກັບຄືນ OneKey Mini ກັບ "ຮູບແບບໂຮງງານ" ແລະຂ້າມ PIN ຄວາມປອດໄພໂດຍການຖອດອຸປະກອນແລະໃສ່ລະຫັດໃສ່. ນີ້ຈະອະນຸຍາດໃຫ້ຜູ້ໂຈມຕີທີ່ມີທ່າແຮງທີ່ຈະເອົາປະໂຫຍກ mnemonic ທີ່ຖືກນໍາໃຊ້ເພື່ອກູ້ຄືນກະເປົາເງິນ. ອັນນີ້ເປັນໄປໄດ້ໂດຍການສົ່ງອຸປະກອນກັບຄືນສູ່ "ໂໝດໂຮງງານ."
“ເຈົ້າມີໜ່ວຍປະມວນຜົນສູນກາງພ້ອມທັງອົງປະກອບຄວາມປອດໄພ. ກະແຈເຂົ້າລະຫັດຂອງທ່ານຈະຖືກເກັບໄວ້ໃນອົງປະກອບທີ່ປອດໄພສະເໝີ. Michaud ສັງເກດເຫັນວ່າໃນສະຖານະການປົກກະຕິ, ການເຊື່ອມຕໍ່ລະຫວ່າງຫນ່ວຍປະມວນຜົນກາງ (CPU), ເຊິ່ງເປັນບ່ອນທີ່ການປຸງແຕ່ງແມ່ນເຮັດ, ແລະອົງປະກອບທີ່ປອດໄພຖືກເຂົ້າລະຫັດ.
"ດີ, ຍ້ອນວ່າມັນຫັນອອກ, ໃນກໍລະນີດັ່ງກ່າວນີ້, ມັນບໍ່ໄດ້ຖືກສ້າງຂື້ນເພື່ອເຮັດແນວນັ້ນ. ທ່ານກ່າວວ່າ "ສິ່ງທີ່ເຈົ້າສາມາດເຮັດໄດ້ແມ່ນວາງເຄື່ອງມືຢູ່ເຄິ່ງກາງທີ່ຕິດຕາມການສື່ສານແລະຂັດຂວາງພວກເຂົາແລະຫຼັງຈາກນັ້ນໃສ່ຄໍາສັ່ງຂອງຕົນເອງ," ລາວກ່າວຕື່ມວ່າ: "ທີ່ເວົ້າ, ດ້ວຍປະໂຫຍກລະຫັດຜ່ານແລະການປະຕິບັດຄວາມປອດໄພຂັ້ນພື້ນຖານ, ເຖິງແມ່ນວ່າການໂຈມຕີທາງຮ່າງກາຍທີ່ເປີດເຜີຍໂດຍ. Unciphered ຈະບໍ່ມີຜົນກະທົບຕໍ່ຜູ້ໃຊ້ OneKey."
ບໍລິສັດໄດ້ສືບຕໍ່ເນັ້ນຫນັກວ່າເຖິງວ່າຈະມີຄວາມຈິງທີ່ວ່າຄວາມອ່ອນແອແມ່ນກ່ຽວຂ້ອງ, vector ການໂຈມຕີທີ່ຖືກຄົ້ນພົບໂດຍ Unciphered ບໍ່ສາມາດຖືກນໍາໃຊ້ຈາກໄລຍະໄກ. ແທນທີ່ຈະ, ມັນຈໍາເປັນຕ້ອງ "ຖອດອຸປະກອນແລະການເຂົ້າເຖິງທາງດ້ານຮ່າງກາຍໂດຍຜ່ານອຸປະກອນ FPGA ທີ່ອຸທິດຕົນຢູ່ໃນຫ້ອງທົດລອງ" ເພື່ອໃຫ້ສາມາດປະຕິບັດໄດ້.
ອີງຕາມ OneKey, ຫຼັງຈາກການສົນທະນາກັບ Unciphered, ມັນໄດ້ຖືກ divulged ວ່າ wallets ອື່ນໆໄດ້ຖືກພົບເຫັນວ່າມີຄວາມຫຍຸ້ງຍາກທີ່ຄ້າຍຄືກັນ. ນີ້ໄດ້ຖືກເປີດເຜີຍເມື່ອມັນຖືກຄົ້ນພົບວ່າກະເປົາເງິນອື່ນໆມີບັນຫາດຽວກັນ.
OneKey ກ່າວວ່າພວກເຂົາໄດ້ຊົດເຊີຍ Unciphered ກັບ bounties ເປັນວິທີການສະແດງຄວາມກະຕັນຍູສໍາລັບການປະກອບສ່ວນຂອງພວກເຂົາເພື່ອຄວາມປອດໄພຂອງບໍລິສັດ.
OneKey ໄດ້ກ່າວໃນ blog post ວ່າມັນໄດ້ປະຕິບັດຄວາມລະມັດລະວັງທີ່ສໍາຄັນແລ້ວເພື່ອຮັບປະກັນຄວາມປອດໄພຂອງລູກຄ້າ. ຂໍ້ຄວນລະວັງເຫຼົ່ານີ້ລວມມີການປົກປ້ອງລູກຄ້າຕໍ່ກັບການໂຈມຕີລະບົບຕ່ອງໂສ້ການສະໜອງ, ເຊິ່ງເກີດຂຶ້ນເມື່ອແຮກເກີປ່ຽນກະເປົາເງິນແທ້ກັບກະເປົາເງິນທີ່ຢູ່ພາຍໃຕ້ການຄວບຄຸມຂອງເຂົາເຈົ້າ.
ການຫຸ້ມຫໍ່ທີ່ປ້ອງກັນການຕິດຂັດໃນການຂົນສົ່ງໄດ້ເປັນຫນຶ່ງໃນຂັ້ນຕອນທີ່ປະຕິບັດໂດຍ OneKey, ຄຽງຄູ່ກັບການນໍາໃຊ້ຜູ້ໃຫ້ບໍລິການລະບົບຕ່ອງໂສ້ການສະຫນອງຂອງ Apple ເອງເພື່ອຈຸດປະສົງເພື່ອຮັບປະກັນການຄຸ້ມຄອງຄວາມປອດໄພຂອງຕ່ອງໂສ້ການສະຫນອງທີ່ໃກ້ຊິດ.
ພວກເຂົາມີຄວາມປາຖະໜາທີ່ຈະເພີ່ມການພິສູດຢືນຢັນ onboard ໃນອະນາຄົດບໍ່ໄກເກີນໄປ ແລະອັບເດດກະເປົາຮາດແວໃໝ່ຫຼ້າສຸດດ້ວຍອົງປະກອບຄວາມປອດໄພລະດັບສູງກວ່າ.
ອີງຕາມສິ່ງທີ່ໄດ້ເວົ້າໂດຍ OneKey, ຈຸດປະສົງຕົ້ນຕໍຂອງ wallets ຮາດແວໄດ້ສະເຫມີເພື່ອປົກປ້ອງຊັບສິນທາງດ້ານການເງິນຂອງຜູ້ໃຊ້ຈາກການໂຈມຕີທາງອິນເຕີເນັດ, ໄວຣັສຄອມພິວເຕີ, ແລະໄພຂົ່ມຂູ່ທີ່ອາດມີອື່ນໆ; ຢ່າງໃດກໍຕາມ, ແຕ່ຫນ້າເສຍດາຍ, ບໍ່ມີຫຍັງສາມາດຮັບປະກັນໄດ້ຢ່າງສົມບູນ.
"ເມື່ອພວກເຮົາເບິ່ງຂະບວນການຜະລິດທັງຫມົດຂອງກະເປົາຮາດແວ, ຈາກໄປເຊຍກັນຊິລິໂຄນໄປຫາລະຫັດຊິບ, ຈາກເຟີມແວໄປຫາ. ຊອບແວ, ມັນປອດໄພທີ່ຈະເວົ້າວ່າອຸປະສັກຮາດແວໃດໆສາມາດຖືກລະເມີດດ້ວຍເງິນພຽງພໍ, ເວລາ, ແລະຊັບພະຍາກອນ; ເຖິງແມ່ນວ່າມັນເປັນລະບົບການຄວບຄຸມອາວຸດນິວເຄລຍ.” "ເມື່ອພວກເຮົາເບິ່ງຂະບວນການຜະລິດທັງຫມົດຂອງກະເປົາຮາດແວ, ຈາກໄປເຊຍກັນຊິລິໂຄນໄປຫາລະຫັດຊິບ, ຈາກເຟີມແວໄປຫາຊອບແວ,"
ທີ່ມາ: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked