Bạn có thể yên tâm!
Liên quan đến cuộc tấn công Chuỗi cung ứng NPM gần đây, các sản phẩm và người dùng OneKey không bị ảnh hưởng.
Tại sao?
(1) Đối với các ứng dụng, chúng tôi có cơ chế ngăn chặn các cuộc tấn công Chuỗi cung ứng:
Bạn có thể hiểu điều này vì chúng tôi chỉ sử dụng các dependency NPM đã ổn định và bảo mật trong quá khứ. Chúng tôi sẽ không vội vàng cập nhật và sử dụng các phiên bản mã mới.
Nếu hacker muốn đầu độc Chuỗi cung ứng phần mềm, chúng phải sử dụng phiên bản mới nhất. Bởi vì nếu mã phụ thuộc của phiên bản cũ bị sửa đổi, dấu vân tay của gói mã sẽ thay đổi và mọi người sẽ ngay lập tức biết rằng đã có thay đổi.
Về mặt chuyên môn, quản lý mã phụ thuộc của OneKey áp dụng phương pháp khóa phiên bản để tránh bị ảnh hưởng bởi việc nhiễm độc các phụ thuộc phiên bản mới.
Đồng thời, chúng tôi đã thiết lập quy trình phát hành bảo mật ở phía phần mềm, bao gồm nhiều lần kiểm tra và xác minh dấu vân tay, để giảm thiểu khả năng lây truyền rủi ro.
(2) Đối với ví phần cứng, chúng tôi có xác minh độc lập tại địa phương:
Như bạn có thể thấy trong nhiều dòng tweet liên quan đến sự cố lần, người dùng ví phần cứng không bị ảnh hưởng.
Bởi vì đối với ví phần cứng, private key được lưu trữ ngoại tuyến và mọi nội dung chữ ký giao dịch được truyền đến một chip ngoại tuyến cục bộ để mô phỏng độc lập và sau đó được xác nhận vật lý, do đó những gì bạn thấy là những gì bạn nhận được.
Nội dung mô phỏng được phân tích bao gồm: phương pháp, số tiền, người nhận hoặc người ủy quyền, tên hợp đồng, v.v.
Liên quan đến cuộc tấn công "Cầy hương thay thế Hoàng tử" này, một số ví bị hacker công sẽ hiển thị địa chỉ bình thường, thực chất là địa chỉ bị hacker thay thế.
Tuy nhiên, với việc xác minh độc lập bằng ví phần cứng, bạn sẽ thấy đối tượng chuyển tiền thực sự và phát hiện ra rủi ro ngay lập tức.
Để biết thêm thông tin về công nghệ bảo mật chữ ký tại đây, vui lòng tham khảo phần bình luận của bài viết "Công nghệ "Signature Guardian/SignGuard" của OneKey: Xem trước giao dịch rõ ràng và phát hiện Phishing theo thời gian thực".
OneKey đã xuất bản phổ cập liên quan, giải thích cách chúng tôi bảo vệ toàn diện khỏi các cuộc tấn công Chuỗi cung ứng. Bạn cũng có thể tìm hiểu thêm trong phần bình luận.
Bảo mật là một cuộc chơi không bao giờ kết thúc. Nó là một quá trình năng động, không phải là một kết quả một sớm một chiều. Chúng tôi sẽ tiếp tục củng cố các cơ chế bảo mật và ngăn ngừa rủi ro, mang đến cho người dùng một hoàn cảnh đáng tin cậy.
