क्रिप्टो हार्डवेयर वॉलेट प्रदाता वनके का कहना है कि उसने अपने फर्मवेयर में पहले से ही एक भेद्यता तय कर दी है जिससे उसके एक हार्डवेयर वॉलेट को एक सेकंड में हैक किया जा सकता है।
दस फरवरी को YouTube पर एक वीडियो तैनात साइबर सुरक्षा स्टार्टअप से अनसिफर्ड ने खुलासा किया कि उन्होंने वनकी मिनी को "क्रैक ओपन" करने के लिए "बड़ी महत्वपूर्ण भेद्यता" का फायदा उठाने के लिए एक तकनीक की खोज की।
एरिक मिकॉड के अनुसार, मशीन को डिसाइड करके और कोडिंग डालकर, वनकी मिनी को "मैन्युफैक्चरिंग यूनिट मोड" पर रीसेट करना और सुरक्षा पिन को बायपास करना संभव था, जिससे एक संभावित हमलावर को स्मरक वाक्यांश को हटाने की अनुमति मिलती है। एक इस्तेमाल किए गए पर्स की बहाली के लिए।
“उनके पास सीपीयू और सुरक्षित पहलू है। सुरक्षित पहलू वह स्थान है जहाँ आप अपनी क्रिप्टो कुंजियाँ रखते हैं। आमतौर पर, सीपीयू के बीच संचार, जहां प्रसंस्करण समाप्त हो गया है, और सुरक्षित पहलू को एन्क्रिप्ट किया गया है," मिकॉड ने समझाया।
"प्रभावी रूप से, ऐसा लगता है कि यह इस मामले में उसके लिए डिज़ाइन नहीं किया गया था। इसलिए वे बीच में एक उपकरण रख सकते हैं जो संचार को प्रदर्शित करता है और इंटरसेप्ट करता है और फिर अपने स्वयं के निर्देशों को इंजेक्ट करता है," उन्होंने कहा, सहित:
"हमने वह स्थान किया जहां यह सुरक्षित पहलू को बताता है कि यह विनिर्माण इकाई मोड में है और हम आपके स्मरक को निकालने में सक्षम हैं जो कि क्रिप्टो में आपका पैसा है।"
फिर भी, 10 फरवरी को एक घोषणा में, OneKey ने कहा कि यह पहले से ही मामला है संबोधित भेद्यता की पहचान अनसिफर्ड द्वारा की गई, यह देखते हुए कि इसकी हार्डवेयर टीम ने "इस वर्ष की शुरुआत में" बिना किसी को प्रभावित किए "सुरक्षा पैच को अपडेट किया था" और यह कि "सभी प्रकट कमजोरियों को ठीक किया गया था या किया जाएगा"।
नवीनतम सुरक्षा मरम्मत समीक्षाओं पर हमारी प्रतिक्रिया https://t.co/Dp9nNp1D0U
- वनकी ओपन-सोर्स पॉकेट्स (@OneKeyHQ) फ़रवरी 10, 2023
"पासवर्ड वाक्यांशों और बुनियादी सुरक्षा प्रथाओं के साथ, यहां तक कि अनसिफर्ड द्वारा उजागर किए गए शारीरिक हमले भी OneKey उपयोगकर्ताओं को नुकसान नहीं पहुंचाएंगे।"
कंपनी ने आगे जोर देकर कहा कि जबकि भेद्यता चिंता का विषय है, अनसिफर्ड द्वारा पहचाने गए हमले वेक्टर को दूरस्थ रूप से उपयोग नहीं किया जा सकता है और "चलाने के प्रयास में प्रयोगशाला में एक समर्पित एफपीजीए मशीन के माध्यम से मशीन को अलग करने और भौतिक पहुंच की आवश्यकता होती है। " "।
OneKey के अनुसार, Unciphered के साथ पत्राचार के दौरान, यह पता चला कि अन्य वॉलेट समान मुद्दों का अनुभव कर रहे थे।
OneKey ने कहा, "हमने Unciphered को OneKey की सुरक्षा में उसके योगदान के लिए धन्यवाद देने के लिए बोनस का भुगतान भी किया।"
एसोसिएटेड: 'आज तक मेरा अनुसरण करें' - एक लॉज लॉबी में $4M क्रिप्टो वेंचर हैक कर लिया गया
अपने ब्लॉग पोस्ट में, OneKey ने समझाया है कि इसने अपने उपयोगकर्ताओं की सुरक्षा सुनिश्चित करने के लिए पहले से ही बहुत प्रयास किए हैं, जिसमें आपूर्ति श्रृंखला हमलों के खिलाफ सुरक्षा भी शामिल है - जब एक हैकर एक असली वॉलेट को अपने नियंत्रण में रखता है।
OneKey के उपायों में शिपमेंट के लिए छेड़छाड़-स्पष्ट पैकेजिंग और सख्त आपूर्ति श्रृंखला सुरक्षा प्रबंधन सुनिश्चित करने के लिए Apple के आपूर्ति श्रृंखला सेवा प्रदाताओं का उपयोग शामिल है।
जल्द या बाद में, वे ऑनबोर्ड प्रमाणीकरण को लागू करने और उच्च-स्तरीय सुरक्षा घटकों के साथ नए हार्डवेयर वॉलेट को अपग्रेड करने की उम्मीद करते हैं।
OneKey ने नोट किया कि {हार्डवेयर} वॉलेट का मुख्य उद्देश्य हमेशा उपयोगकर्ताओं के धन को मैलवेयर के हमलों, कंप्यूटर वायरस और अन्य दूरस्थ जोखिमों से सुरक्षित रखना रहा है, लेकिन दुर्भाग्य से कुछ भी 100% सुरक्षित नहीं हो सकता है।
“अगर हम पूरी हार्डवेयर वॉलेट निर्माण प्रक्रिया को देखें, तो सिलिकॉन क्रिस्टल से लेकर चिप कोड तक, फ़र्मवेयर से लेकर सॉफ़्टवेयर तक, यह कहना सुरक्षित है कि पर्याप्त पैसा, समय और संसाधन दिए जाने पर, कोई भी हार्डवेयर बाधा हो सकती है क्षतिग्रस्त, तब भी जब यह एक परमाणु हथियार प्रबंधन प्रणाली है।"