안심하셔도 됩니다!
최근 NPM 공급망 공격과 관련하여 OneKey 제품과 사용자는 영향을 받지 않았습니다.
왜?
(1) 앱의 경우 공급망 공격을 방지하기 위한 메커니즘이 있습니다.
이는 과거에 안정적이고 보안성이 보장되었던 NPM 기반 코드만 사용한다는 의미입니다. 성급하게 새 버전의 코드를 업데이트하거나 사용하지는 않을 것입니다.
해커가 소프트웨어 공급망을 감염시키려면 최신 버전을 사용해야 합니다. 종속 코드의 이전 버전이 수정되면 코드 패키지의 지문이 변경되어 모든 사람이 변경 사항을 즉시 알 수 있기 때문입니다.
전문적으로 말하면, OneKey의 종속성 코드 관리 방식은 새로운 버전 종속성의 오염을 피하기 위해 잠긴 버전 접근 방식을 채택합니다.
동시에, 우리는 잠재적인 리스크 전달을 줄이기 위해 다중 감사와 지문 검증을 포함한 소프트웨어 측면에서 보안 릴리스 프로세스를 구축했습니다.
(2) 하드웨어 지갑의 경우 로컬 독립 검증이 있습니다.
이 사건과 관련된 여러 트윗에서 볼 수 있듯이 하드웨어 지갑 사용자는 영향을 받지 않습니다.
하드웨어 지갑의 경우 개인 키는 오프라인에 저장되고 모든 거래 서명 내용은 독립적인 시뮬레이션 해제를 위해 로컬 오프라인 칩으로 전송된 다음 물리적으로 확인되므로 보이는 그대로의 결과를 얻을 수 있습니다.
구문 분석된 시뮬레이션 내용에는 다음이 포함됩니다: 방법, 금액, 수신자 또는 승인자, 계약 이름 등.
프런트엔드 "사향고양이 대체 왕자" 공격의 경우, 해커의 공격을 받은 일부 지갑은 실제로 해커의 주소로 대체된 정상적인 주소를 표시합니다.
하지만 하드웨어 지갑을 통한 독립적인 검증을 통해 실제 전송 객체를 확인하고 리스크 즉시 발견할 수 있습니다.
여기에서 서명 보안 기술에 대한 자세한 내용을 보려면 "OneKey "Signature Guardian/SignGuard" 기술: 명확한 거래 미리보기 및 실시간 피싱 감지"의 댓글 섹션을 참조하세요.
OneKey는 공급망 공격에 대한 포괄적인 방어 방법을 설명하는 관련 인기 과학 기사를 게시했습니다. 댓글 섹션에서 더 자세한 내용을 확인하실 수도 있습니다.
보안은 끝없는 게임입니다. 단 한 번의 결과가 아닌 역동적인 과정입니다. 저희는 사용자에게 신뢰할 수 있는 환경을 제공하기 위해 보안 메커니즘을 지속적으로 강화하고 리스크 예방해 나갈 것입니다.
