블록체인 보안 회사인 CertiK의 최근 영상은 솔라나의 암호화폐 지원 사가(Saga) 휴대폰의 잠재적인 보안 취약성에 대해 일련의 “부정확한” 주장을 했다고 솔라나 랩스(Solana Labs)가 밝혔습니다.
11월 15일 X(이전 Twitter)의 게시물에서 CertiK는 Saga 휴대폰에 악의적인 행위자가 휴대폰에 숨겨진 백도어를 설치할 수 있는 “부트로더 잠금 해제” 공격으로 알려진 “중요한 취약점”이 포함되어 있다고 주장했습니다.
Web3 장치의 보안에 대해 궁금한 적이 있습니까?
우리의 최신 조사에서는 Solana Phone의 심각한 부트로더 취약점이 드러났습니다. 이는 이 장치뿐만 아니라 업계 전체가 직면한 과제입니다. 보안 표준을 강화하려는 우리의 노력은 확고합니다. … pic.twitter.com/lHZ5W7hXzy
— CertiK (@CertiK) 2023년 11월 15일
CertiK는 Cointelegraph에 보낸 보고서에서 부트로더 잠금 해제를 통해 “휴대폰에 물리적으로 접근할 수 있는 공격자가 루트 백도어가 포함된 맞춤형 펌웨어를 로드할 수 있게 될 것”이라고 주장했습니다.
CertiK의 보고서는 “우리는 이것이 암호화폐 개인 키를 포함하여 휴대폰에 저장된 가장 민감한 데이터를 손상시킬 수 있음을 보여줍니다.”라고 밝혔습니다.
그러나 Solana Labs 대변인은 Cointelegraph에 CertiK의 주장은 정확하지 않으며 해당 비디오에서는 Saga 장치에 대한 합법적인 위협을 드러내지 않았다고 말했습니다.
“CertiK 비디오는 Saga 보유자에게 알려진 취약점이나 보안 위협을 드러내지 않습니다.”
Android 내부 오픈소스 프로젝트 선적 서류 비치 다양한 Android 기기에서 부트로더 잠금 해제를 수행할 수 있음을 보여줍니다.
Solana Labs는 공격자가 부트로더를 잠금 해제하고 맞춤형 펌웨어를 설치하려면 여러 단계를 거쳐야 하며 이는 사용자의 비밀번호나 지문으로 장치의 잠금을 해제한 후에만 수행할 수 있다고 말했습니다.
“부트로더를 잠금 해제하면 장치가 지워지고, 부트로더를 잠금 해제할 때 사용자에게 여러 번 경고가 표시됩니다. 따라서 사용자의 적극적인 참여나 인식 없이는 프로세스가 진행될 수 없습니다.”라고 Solana Labs는 말했습니다.
또한 Android 기기에서 부트로더 잠금 해제를 진행하는 경우 프로세스에 따른 영향에 대한 일련의 경고가 표시됩니다.
이러한 경고를 무시하면 장치는 개인 키와 함께 지워집니다.
솔라나 사가(Solana Saga) 휴대폰은 2022년 4월 1,099달러의 가격으로 출시되었습니다. 이 전화기는 암호화폐 앱을 기술 하드웨어에 통합하기 위해 Web3 기반 DApp 스토어를 제공합니다.
4월에 우리는 web3를 손끝에 두겠다는 명확한 비전을 가지고 Saga를 출시했습니다. 우리는 더 많은 사람들을 생태계에 참여시키고 web3의 모바일 미래를 주도하기 위해 계속해서 노력하고 있습니다. 오늘 우리는 Saga의 가격을 $599로 인하합니다.
지난 4개월 동안 Saga 사용자들은… pic.twitter.com/qpC1BHiqZ7
— 솔라나 모바일(@solanamobile) 2023년 8월 9일
그러나 출시 4개월 후 솔라나는 가격을 599달러로 인하했습니다. 감소 판매.
CertiK는 솔라나 랩스의 반박에 대한 논평 요청에 즉각 응답하지 않았습니다.