Аналитики CertiK выявили критическую уязвимость в смартфоне Saga от Solana, которая позволяет похищать криптовалюты пользователя.
Ever wondered about the security of your Web3 devices?
Our newest exploration reveals a significant bootloader vulnerability in the Solana Phone, a challenge not just for this device but for the entire industry. Our commitment to enhancing security standards is unwavering. 🔐… pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) November 15, 2023
Специалисты компании в режиме восстановления смогли установить на устройство бэкдор и разблокировать доступ к загрузчику операционной системы.
Смартфон отобразил предупреждение о том, что с этого момента «целостность программного обеспечения не может быть гарантирована».
После этого они подключили смартфон к WiFi, чтобы установить связь с командно-контрольным сервером на ноутбуке. Благодаря root-правам на уязвимом устройстве и использованию bash-скриптов исследователи вывели все биткоины со встроенного кошелька.
Дополнительных комментариев по проблеме в CertiK не предоставили.
Апдейт:
CCO HAPI Марк Лецюк уточнил, что в демонстрируемом ролике CertiK не раскрываются какие-либо известные уязвимости или угрозы безопасности для владельцев Saga.
Он также добавил, что одной из ключевых инноваций Saga является Seed Vault — встроенная система хранения с повышенной безопасностью для сид-фраз и поддерживаемых цифровых активов.
Впервые Solana Labs представила Saga в июне 2022 года. В аппаратное и программное обеспечение телефона интегрированы функции Web3, что позволяет использовать его как аппаратный кошелек.
Напомним, продажи Saga стартовали 8 мая 2023 года.
Будь в курсе! Подписывайся на Криптовалюта.Tech в Telegram.