CertiK tuyên bố điện thoại thông minh Saga của Solana có chứa một “lỗ hổng bootloader” nghiêm trọng – Solana Labs cho biết những tuyên bố này hoàn toàn không chính xác.
Solana Labs cho biết một video gần đây từ công ty bảo mật blockchain CertiK đã đưa ra một loạt tuyên bố “không chính xác” về lỗ hổng bảo mật tiềm ẩn trong điện thoại Saga hỗ trợ tiền điện tử của Solana.
Trong một bài đăng ngày 15 tháng 11 trên X (trước đây là Twitter), CertiK tuyên bố điện thoại Saga chứa một “lỗ hổng nghiêm trọng” được gọi là cuộc tấn công “mở khóa bootloader”, được cho là cho phép kẻ độc hại cài đặt một cửa sau ẩn trong điện thoại.
Bạn đã bao giờ thắc mắc về tính bảo mật của thiết bị Web3 của mình chưa?
Thăm dò mới nhất của chúng tôi cho thấy lỗ hổng bộ nạp khởi động đáng kể trong Điện thoại Solana, một thách thức không chỉ đối với thiết bị này mà còn đối với toàn bộ ngành. Cam kết của chúng tôi trong việc nâng cao các tiêu chuẩn bảo mật là không lay chuyển. … pic.twitter.com/lHZ5W7hXzy
– Chứng nhận (@CertiK) Ngày 15 tháng 11 năm 2023
Trong một báo cáo được gửi tới Cointelegraph, CertiK tuyên bố việc mở khóa bộ nạp khởi động sẽ “cho phép kẻ tấn công có quyền truy cập vật lý vào điện thoại để tải chương trình cơ sở tùy chỉnh có chứa cửa hậu gốc”.
Báo cáo của CertiK cho biết: “Chúng tôi chứng minh rằng điều này có thể xâm phạm dữ liệu nhạy cảm nhất được lưu trữ trên điện thoại, bao gồm cả khóa riêng tư của tiền điện tử”.
Tuy nhiên, người phát ngôn của Solana Labs nói với Cointelegraph rằng tuyên bố của CertiK là không chính xác và video của họ không tiết lộ bất kỳ mối đe dọa hợp pháp nào đối với thiết bị Saga.
“Video CertiK không tiết lộ bất kỳ lỗ hổng hoặc mối đe dọa bảo mật nào đã biết đối với chủ sở hữu Saga.”
Tài liệu Dự án nguồn mở nội bộ của Android cho thấy việc mở khóa bộ nạp khởi động có thể được thực hiện trên nhiều loại thiết bị Android.
Solana Labs cho biết để mở khóa bộ nạp khởi động và cài đặt chương trình cơ sở tùy chỉnh, kẻ tấn công sẽ phải thực hiện nhiều bước, chỉ có thể thực hiện sau khi mở khóa thiết bị bằng mật mã hoặc dấu vân tay của người dùng.
Solana Labs cho biết: “Việc mở khóa bộ nạp khởi động sẽ xóa sạch thiết bị mà người dùng được cảnh báo nhiều lần khi mở khóa bộ nạp khởi động, vì vậy đây không phải là một quá trình có thể diễn ra nếu không có sự tham gia hoặc nhận thức tích cực của người dùng”.
Ngoài ra, nếu bất kỳ ai tiến hành mở khóa bộ nạp khởi động trên thiết bị Android, họ sẽ phải chịu một loạt cảnh báo về tác động của quy trình.
Nếu họ bỏ qua những cảnh báo này, thiết bị sẽ bị xóa cùng với khóa riêng của họ.
Điện thoại Solana Saga được phát hành vào tháng 4 năm 2022 với mức giá 1.099 USD. Điện thoại này cung cấp cửa hàng DApp gốc Web3 nhằm tích hợp các ứng dụng tiền điện tử vào phần cứng công nghệ.
Vào tháng 4, chúng tôi đã giới thiệu Saga với tầm nhìn rõ ràng: đưa web3 vào tầm tay bạn. Chúng tôi tiếp tục nỗ lực để thu hút nhiều người hơn vào hệ sinh thái và thúc đẩy tương lai di động của web3. Hôm nay, chúng tôi sẽ giảm giá Saga xuống còn 599 USD.
Trong bốn tháng qua, người dùng Saga đã đón nhận… pic.twitter.com/qpC1BHiqZ7
– Solana Mobile (@solanamobile) Ngày 9 tháng 8 năm 2023
Tuy nhiên, bốn tháng sau khi ra mắt, Solana đã giảm giá xuống còn 599 USD – sau khi doanh số bán hàng sụt giảm mạnh.
CertiK đã không trả lời ngay lập tức yêu cầu bình luận về phản bác của Solana Labs.
Theo Cointelegraph