Analitycy CertiK zidentyfikowali poważną lukę w smartfonie Saga firmy Solana, która umożliwia kradzież kryptowalut użytkownika.
Ever wondered about the security of your Web3 devices?
Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023
Specjaliści firmy byli w stanie zainstalować backdoora na urządzeniu w trybie odzyskiwania i odblokować dostęp do bootloadera systemu operacyjnego.
Smartfon wyświetlał ostrzeżenie, że od tego momentu “nie można zagwarantować integralności oprogramowania”.
“Wszelkie dane przechowywane na urządzeniu mogą być dostępne dla atakujących”.
Następnie podłączyli smartfon do Wi-Fi, aby nawiązać połączenie z serwerem dowodzenia i kontroli na laptopie. Rootując podatne urządzenie i używając skryptów bash, badacze wyciągnęli wszystkie Bitcoiny z wbudowanego portfela.
Nic się nie stało?
CCO HAPI Mark Leciuk wyjaśnił, że demonstrowane wideo CertiK nie ujawnia żadnych znanych luk ani zagrożeń bezpieczeństwa dla właścicieli Saga. Ekspert wyjaśnił:
“Wideo pokazuje użytkownika odblokowującego bootloader, co można zrobić na wielu urządzeniach z Androidem. Na Sadze ta opcjonalna funkcja jest domyślnie wyłączona. Nie jest to jednak luka w zabezpieczeniach – autoryzowany użytkownik musi wyraźnie zezwolić na wprowadzenie takich zmian w swoim urządzeniu.”
Dodał również, że jedną z kluczowych innowacji Sagi jest Seed Vault – wbudowany system przechowywania z ulepszonymi zabezpieczeniami dla fraz seed.
“Użytkownikom Saga zawsze zaleca się włączenie portfeli Seed Vault w celu ochrony swoich cyfrowych aktywów. Należy zauważyć, że Seed Vault nie jest używany w portfelu CertiK pokazanym na filmie.”
Solana Labs po raz pierwszy zaprezentowała Sagę w czerwcu 2022 roku. Funkcje Web3 są zintegrowane ze sprzętem i oprogramowaniem telefonu, dzięki czemu można go używać jako portfela sprzętowego.
Przypomnijmy, że sprzedaż Sagi rozpoczęła się 8 maja 2023 roku.
Zbudowane przez Ari10. Możliwość płatności BLIKZbudowane przez Ari10. Możliwość płatności BLIK
Najlepsze platformy dla krypto inwestoró
Paybis Wypróbuj →
YouHodler Wypróbuj →
Wirex Wypróbuj →
INX Wypróbuj →
OKX Wypróbuj →
