Solana Labs 駁回了CertiK 最近的一段視頻,稱該區塊鏈安全公司對Solana 的Saga 手機中的潛在安全漏洞提出了一些不準確的說法。
Saga 是Solana 的支援加密貨幣功能的Android 手機,於4 月發布。該手機旨在將Web3 與智慧型手機配對。
CertiK 視頻
CertiK 於11 月15 日在X(以前的Twitter)上發布帖子,聲稱Saga 手機包含一個稱為「引導程式解鎖」漏洞的嚴重漏洞。該漏洞可能會給惡意行為者提供進入手機的後門,並危及負責啟動受感染設備的初始軟體。 CertiK 還聲稱,引導程式漏洞將允許任何能夠實際存取手機的攻擊者載入包含根後門的自訂韌體。 CertiK 表示,
「我們證明這可能會損害手機上儲存的最敏感數據,包括加密貨幣私鑰。引導程式已解鎖,無法保證軟體完整性。攻擊者可能可以獲得裝置上儲存的任何數據。 請勿在裝置上存儲任何敏感數據。”
來自CertiK 的訊息表明手機可能被駭客入侵。不過,目前尚不清楚該漏洞是否是Saga 手機獨有的,或者是否會影響其他Android 裝置。
Solana 稱CertiK 聲明不準確
然而,Solana 駁回了CertiK 對Saga 手機中任何潛在漏洞的擔憂。 Solana Labs 行動首席軟體工程師Steven Laver 表示,CertiK 影片並未向Saga 用戶揭示任何已知的漏洞或安全威脅。相反,該影片僅演示了用戶解鎖引導程序,Laver 表示這可以在任何Android 裝置上完成。
“CertiK 影片並未向Saga 持有者揭示任何已知的漏洞或安全威脅。 該影片顯示用戶解鎖引導程序,這可以在許多Android 設備上完成。”
Android 的內部開源專案文件也顯示,解鎖引導程式是可以在多個Android 裝置上執行的操作。萊弗進一步補充道,
「解鎖引導程式是Saga 的高級功能,預設為停用。我們相信讓用戶可以選擇如何使用手機。然而,解鎖引導程式並不是一個安全漏洞 – 用戶必須明確允許對其設備進行此類更改,並且這些更改只能由手機的授權用戶進行。”
但是,如果用戶或攻擊者繼續解鎖引導程序,他們不僅會收到多次警告,而且他們的設備及其私鑰都會被擦除。 Laver補充說,如果沒有使用者的意識或積極參與,這個過程就不可能完成。影片隨後展示了攻擊者如何從手機上的錢包中提取BTC。不過,影片中並沒有顯示種子庫。 Seed Vault 保護受支援的數位資產和種子。
Seed Vault 於2022 年發布,可以存取設備上可用的最高特權安全環境。這包括處理器到專用安全元件的安全操作模式,從而透過Android 內建的UI 元件確保安全的交易簽章體驗。
傳奇電話
Saga 於4 月推出,旨在將Web3 生態系統與智慧型手機配對。除了傳統的應用程式商店之外,Solana 還提供單獨的應用程式商店。這款手機允許用戶自行保管自己的資產並隨身攜帶。推出幾個月後,Solana 將Saga 的價格下調了40%,從1,000 美元降至599 美元。
當時,Solana Mobile 業務營運主管Emmett Hollyer 表示,降價是消費性電子業務的常見策略,特別是在智慧型手機領域。
免責聲明:本文僅供參考。它不提供或旨在用作法律、稅務、投資、財務或其他建議。
資訊來源:由0x資訊編譯自CRYPTODAILY。版權所有,未經許可,不得轉載