Kripto para donanım cüzdanı sağlayıcısı OneKey, bir hack saldırısı ile karşılaşmış üzere duruyor. Kelam konusu hack, bir siber güvenlik teşebbüsü tarafından gerçekleştirildi, yani “iyi niyetli hackerların” hareketi ile ortaya çıktı. Sorun, platformdaki bir güvenlik açığından kaynaklandı. İşte detaylar…

Kripto para platformuna hack saldırısı

Kripto para donanım cüzdanı sağlayıcısı OneKey, donanım cüzdanlarından birinin bir saniye içinde hücuma uğramasına müsaade veren eser yazılımındaki bir güvenlik açığını ele aldığını söylüyor. Siber güvenlik teşebbüsü Unciphered tarafından 10 Şubat’ta YouTube’da yayınlanan bir görüntü, OneKey Mini’yi “kırarak açmalarına” imkan tanıyan “Devasa kritik bir güvenlik açığından” yararlanmanın bir yolunu bulduklarını gösterdi.

Unciphered’in bir ortağı olan Eric Michaud’a nazaran, aygıtı kesimlerine ayırıp kodlama ekleyerek, OneKey Mini’yi “fabrika moduna” döndürmek ve güvenlik kısmını atlamak mümkün oldu. Michaud, “Güvenli öğe, kripto anahtarlarınızı sakladığınız yerdir. Şimdi, normalde iletişim, işlemenin yapıldığı CPU ile güvenli öğe arasında şifrelenir,” diye açıkladı. Ayrıyeten aşağıdaki sözleri kullandı:

Eh, bu durumda bunu yapmak için tasarlanmadığı ortaya çıktı. Bu yüzden yapabileceğiniz şey, irtibatları izleyen ve akabinde kendi komutlarını enjekte eden bir araç koymaktır. Bunu, inançlı öğeye fabrika modunda olduğunu söylediği yerde yaptık.

OneKey, sorunu aslında ele almıştı

Lakin OneKey, 10 Şubat’ta yaptığı açıklamada, Unciphered tarafından belirlenen güvenlik açığını zati ele aldığını belirterek, donanım grubunun güvenlik düzeltme ekini “bu yılın başlarında” “kimse etkilenmeden” güncellediğini belirtti. Proje, aşağıdaki sözleri kullandı:

Açıklanan tüm güvenlik açıklarının düzeltildi yahut düzeltiliyor. Bununla birlikte, parola sözleri ve temel güvenlik uygulamalarıyla, Unciphered tarafından ifşa edilen fizikî taarruzlar bile OneKey kullanıcılarını etkilemeyecektir.

Şirket ayrıyeten, güvenlik açığı tasa verici olsa da, Unciphered tarafından tanımlanan taarruz vektörünün uzaktan kullanılamayacağını ve “yürütülmesinin mümkün olması için cihazın sökülmesi ve laboratuvardaki özel bir FPGA cihazı aracılığıyla fiziksel erişim” gerektirdiğinin altını çizdi. OneKey’e nazaran Unciphered ile yapılan yazışmalar sırasında başka cüzdanlarda da benzeri meselelerin olduğu ortaya çıktı. OneKey, “Onlara OneKey’in güvenliğine yaptıkları katkılardan dolayı teşekkür etmek için Unciphered ödülleri de ödedik” dedi.

Hiçbir şey yüzde 100 inançlı değil

OneKey, blog gönderisinde, kullanıcılarının güvenliğini sağlamak için, onları tedarik zinciri taarruzlarından korumak da dahil olmak üzere, bir bilgisayar korsanı gerçek bir cüzdanı kendi denetimindeki bir cüzdanla değiştirdiğinde, büyük zahmetlere katlandığını söyledi. OneKey’in tedbirleri ortasında teslimatlar için kurcalamaya güçlü paketleme ve katı tedarik zinciri güvenliği idaresi sağlamak için Kriptokoin.com olarak da bildirdiğimiz üzere Apple’ın tedarik zinciri hizmet sağlayıcılarının kullanımı yer alıyor.

Gelecekte, yerleşik kimlik doğrulamayı uygulamayı ve daha yeni donanım cüzdanlarını daha yüksek düzeyli güvenlik bileşenleriyle yükseltmeyi umuyorlar. OneKey, donanım cüzdanlarının asıl hedefinin her vakit kullanıcıların coin’ini berbat maksatlı yazılım ataklarından, bilgisayar virüslerinden ve öteki uzak tehlikelerden korumak olduğunu, fakat ne yazık ki hiçbir şeyin yüzde 100 inançlı olamayacağını yazdı.

Kripto Koin’in Haberi