นักวิจัยด้านความปลอดภัยได้ค้นพบช่องโหว่ในสมาร์ทโฟน Android บางรุ่นที่ใช้ชิปเซ็ต MediaTek ซึ่งอาจอนุญาตให้ผู้โจมตีที่เข้าถึงทางกายภาพสามารถดึงข้อมูลสำคัญ รวมถึงรหัสเมล็ดพันธุ์กระเป๋าเงินคริปโต ได้ภายในเวลาน้อยกว่าหนึ่งนาที
@DonjonLedger ได้ค้นพบช่องโหว่อีกครั้ง ซึ่งอาจส่งผลกระทบต่อสมาร์ทโฟน Android กว่าล้านเครื่อง เป็นอีกรายการเตือนว่าสมาร์ทโฟนไม่ได้ถูกสร้างขึ้นเพื่อความปลอดภัย แม้ในขณะที่ปิดเครื่อง ข้อมูลผู้ใช้ รวมถึง PIN และรหัสเมล็ดพันธุ์ ก็สามารถถูกดึงออกมาได้ภายในเวลาน้อยกว่าหนึ่งนาที
— Charles Guillemet (@P3b7_) 11 มีนาคม 2026
ช่องโหว่นี้ถูกระบุโดยหน่วยวิจัยด้านความปลอดภัยของ Ledger ซึ่งเป็นผู้พัฒนาระบบความปลอดภัย Ledger Donjon ซึ่งได้แสดงการโจมตีบน Nothing CMF Phone 1 ตามรายงาน ช่องโหว่นี้ส่งผลต่ออุปกรณ์ที่ใช้ชิปเซ็ต MediaTek ร่วมกับเทคโนโลยี Trustonic
ระหว่างการทดสอบ ทีมงานเชื่อมต่อโทรศัพท์กับแล็ปท็อปผ่าน USB และสามารถข้ามผ่านมาตรการความปลอดภัยหลักได้ภายในประมาณ 45 วินาที
โดยไม่ต้องบูตเข้าสู่ระบบปฏิบัติการ Android ช่องโหว่นี้สามารถกู้ PIN ของอุปกรณ์ ถอดรหัสข้อมูลในหน่วยความจำ และดึงรหัสเมล็ดพันธุ์ที่เก็บไว้ในแอปพลิเคชันกระเป๋าเงินคริปโตยอดนิยมหลายตัว
นักวิจัยเตือนว่า เนื่องจากช่องโหว่นี้โจมตีชั้นความปลอดภัยฮาร์ดแวร์พื้นฐานของโทรศัพท์ จึงสามารถดำเนินการได้แม้ในขณะที่อุปกรณ์ปิดอยู่
ในทางทฤษฎี สิ่งนี้อาจเปิดเผยข้อมูลสำคัญที่เก็บไว้ในแอปพลิเคชันกระเป๋าเงินคริปโตบนซอฟต์แวร์ หากผู้โจมตีสามารถเข้าถึงทางกายภาพชั่วคราวของอุปกรณ์
ปัญหานี้ได้รับหมายเลขประจำตัว CVE-2025-20435 และอาจส่งผลกระทบต่อสมาร์ทโฟน Android กว่าล้านเครื่องที่ใช้ชิปเซ็ต MediaTek และสถาปัตยกรรม TEE ของ Trustonic
Ledger Donjon กล่าวว่าพวกเขาได้ดำเนินกระบวนการเปิดเผยความปลอดภัยอย่างรับผิดชอบ โดยแจ้งให้ผู้จำหน่ายที่ได้รับผลกระทบทราบก่อนเผยแพร่ผลการวิจัย MediaTek ยืนยันว่าพวกเขาได้ให้การแก้ไขด้านความปลอดภัยแก่ผู้ผลิตสมาร์ทโฟนเมื่อวันที่ 5 มกราคม 2026 ซึ่งช่วยให้ผู้ผลิตอุปกรณ์สามารถปล่อยแพทช์ผ่านการอัปเดตซอฟต์แวร์
การวิจัยนี้เน้นความแตกต่างด้านสถาปัตยกรรมระหว่างชิปสมาร์ทโฟนทั่วไปและฮาร์ดแวร์เฉพาะทางที่ออกแบบมาเพื่อปกป้องความลับทางเข้ารหัส
ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นว่า แม้ว่าแอปพลิเคชันกระเป๋าเงินคริปโตบนซอฟต์แวร์จะสะดวก แต่ฮาร์ดแวร์ความปลอดภัยเฉพาะทาง เช่น องค์ประกอบความปลอดภัย (Secure Element) ให้การป้องกันที่แข็งแกร่งกว่า สำหรับกุญแจส่วนตัวและรหัสเมล็ดพันธุ์ โดยเฉพาะในสถานการณ์ที่มีการโจมตีทางกายภาพต่ออุปกรณ์
เว็บ3 ของคุณ + บริการ + การชำระเงิน ในลิงก์เดียว รับลิงก์ pay3.so ของคุณวันนี้
btc.bar.articles
มูลนิธิ Zcash เปิดตัว Zebra 4.4.0 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับฉันทามติหลายรายการ
ตามที่ Zcash Foundation ระบุ Zebra 4.4.0 ได้ถูกปล่อยออกมาเมื่อไม่นานมานี้เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยระดับฉันทามติหลายรายการ การอัปเดตนี้จัดการกับปัญหาการโจมตีแบบปฏิเสธการให้บริการ (denial-of-service) ที่อาจทำให้การค้นพบบล็อกหยุดชะงัก ข้อผิดพลาดในการนับการทำงานลายเซ็นของบล็อก (sigops) ซึ่งทำให้เกิดความเห็นพ้องไม่ตรงกันในฉันทามติ
GateNews3 ชั่วโมง ที่แล้ว
การแฮกคริปโตร่วม 292 ล้านดอลลาร์ครั้งนี้ในปีนี้ เปิดโปงช่องโหว่ด้านความปลอดภัยที่สำคัญของ DeFi
ตามรายงานของ CoinDesk การแฮ็กคริปโตรวมมูลค่า 292 ล้านดอลลาร์ที่เกิดขึ้นในปีนี้ได้เปิดเผยช่องโหว่ด้านความปลอดภัยที่สำคัญในโปรโตคอล DeFi เหตุการณ์ดังกล่าวทำให้ผู้เชี่ยวชาญในอุตสาหกรรมเริ่มทบทวนการบริหารความเสี่ยงและโครงสร้างตลาดอีกครั้ง ขณะที่ผู้เล่นการเงินแบบดั้งเดิมกำลังย้ายขึ้นเชน
การละเมิดครั้งนี้ได้กระตุ้นให้เกิด
GateNews4 ชั่วโมง ที่แล้ว
ข้อเสนอ eCash ดึงคำเตือนจากนักพัฒนาซอฟต์แวร์เกี่ยวกับความเสี่ยงและการกระจายตัว
นักพัฒนาและบุคคลสำคัญในอุตสาหกรรมได้แสดงความกังวลเกี่ยวกับข้อเสนอ eCash ที่เชื่อมโยงกับ Paul Sztorc โดยระบุว่าความเสี่ยงของผู้ใช้ การกระจายที่ไม่สม่ำเสมอ และความตึงเครียดทางปรัชญาเป็นประเด็นสำคัญ
ข้อเสนอนี้ถูกมองว่าเป็นการนำองค์ประกอบที่เป็นอันตรายมา ซึ่งควรใช้ความระมัดระวังภายในระบบนิเวศสกุลเงินคริปโท
CryptoFrontier5 ชั่วโมง ที่แล้ว
ผู้ใช้ Wasabi Protocol สามารถถอนเงินคงเหลือได้อย่างปลอดภัยแล้ว
ตามแถลงการณ์อย่างเป็นทางการของ Wasabi Protocol บน X ตอนนี้ผู้ใช้สามารถโต้ตอบกับสัญญาอัจฉริยะของโปรโตคอลได้อย่างปลอดภัย และถอนเงินคงเหลือที่เหลืออยู่ ทีมงานกำลังทำงานเพื่อสืบสวนเหตุการณ์ดังกล่าว แต่ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมในขณะนี้ โดยระบุว่าจะมีการแชร์อัปเดตเพิ่มเติมเมื่อมี
GateNews5 ชั่วโมง ที่แล้ว
Purrlend สูญเสีย 1.52 ล้านดอลลาร์ บน HyperEVM และ MegaETH หลังมัลติซิก 2/3 ถูกประนีประนอม
ตามรายงานของ ChainCatcher Purrlend ประสบเหตุรั่วไหลด้านความปลอดภัยบน HyperEVM และ MegaETH เมื่อวันที่ 3 พฤษภาคม โดยสูญเสียประมาณ 1.52 ล้านดอลลาร์ ผู้โจมตีได้บุกรุกวอลเล็ตมัลติซิก 2/3 ของทีม และมอบสิทธิ์ BRIDGE_ROLE ให้กับตนเอง จากนั้นจึงใช้สิทธิดังกล่าวเพื่อมิ้นต์โทเค็น pUSDm และ pUSDC ที่ไม่มีหลักค้ำซึ่งถูก
GateNews8 ชั่วโมง ที่แล้ว
