OneKey siger, at den har rettet fejlen, der fik dens hardware-pung hacket på 1 sekund

Crypto-hardware wallet-udbyderen OneKey siger, at den allerede har rettet en sårbarhed i sin firmware, der gjorde det muligt at hacke en af ​​dens hardware-punge på et sekund.

On Feb. 10, a video on YouTube indsendt by cybersecurity startup Unciphered showed they had figured out a way to exploit a “Massive critical vulnerability” in order o “crack open” a OneKey Mini.

Ifølge Eric Michaud, en partner hos Unciphered, var det ved at adskille enheden og indsætte kodning muligt at returnere OneKey Mini til "fabrikstilstand" og omgå sikkerhedsnålen, hvilket gjorde det muligt for en potentiel angriber at fjerne den mnemoniske sætning, der blev brugt til at gendanne en pung. 

[Indlejret indhold]

"Du har CPU'en og det sikre element. Det sikre element er, hvor du opbevarer dine kryptonøgler. Nu er kommunikationen normalt krypteret mellem CPU'en, hvor behandlingen foregår, og det sikre element," forklarede Michaud.

"Det viser sig, at det ikke var konstrueret til at gøre det i dette tilfælde. Så hvad du kunne gøre er at sætte et værktøj i midten, der overvåger kommunikationen og opsnapper dem og derefter injicerer deres egne kommandoer," sagde han og tilføjede:

"Vi gjorde det, hvor det så fortæller det sikre element, at det er i fabrikstilstand, og vi kan tage dine mnemonics ud, som er dine penge i krypto."

Men i en erklæring den 10. februar sagde OneKey, at det allerede havde gjort det rettet the security flaw identified by Unciphered, noting that its hardware team had updated the security patch “earlier this year” without “anyone being affected,” and that “All disclosed vulnerabilities have been or are being fixed.”

Vores svar på seneste sikkerhedsrettelsesrapporter https://t.co/Dp9nNp1D0U

— OneKey Open Source Wallet (@OneKeyHQ) Februar 10, 2023

"Når det er sagt, med adgangskodesætninger og grundlæggende sikkerhedspraksis, vil selv fysiske angreb afsløret af Unciphered ikke påvirke OneKey-brugere." 

Virksomheden fremhævede yderligere, at selvom sårbarheden var bekymrende, kan angrebsvektoren identificeret af Unciphered ikke bruges eksternt og kræver "adskillelse af enheden og fysisk adgang gennem en dedikeret FPGA-enhed i laboratoriet for at være mulig at udføre."

Ifølge OneKey blev det under korrespondance med Unciphered afsløret, at andre tegnebøger har været det fundet at have lignende problemer.

"Vi udbetalte også Unciphered dusører for at takke dem for deres bidrag til OneKeys sikkerhed," sagde OneKey.

Relateret: 'Haunts me to this day' — Krypto-projekt hacket for $4M i en hotelobby

I sit blogindlæg har OneKey sagt, at det allerede har gjort store anstrengelser for at sikre brugernes sikkerhed, herunder at beskytte dem mod forsyningskædeangreb — når en hacker erstatter en ægte pung med en, der kontrolleres af dem. 

OneKeys tiltag har omfattet manipulationssikker emballage til leveringer og brugen af ​​forsyningskædetjenesteudbydere fra Apple for at sikre stringent forsyningskædesikkerhedsstyring.

I fremtiden håber de at implementere indbygget autentificering og opgradere nyere hardware-punge med sikkerhedskomponenter på højere niveau.

OneKey noted that the main formålet med hardware tegnebøger has always been to protect users’ money from malware attacks, computer viruses and other remote dangers, but acknowledged that unfortunately, nothing can be 100% secure. 

"Når vi ser på hele hardware wallet-fremstillingsprocessen, fra siliciumkrystaller til chipkode, fra firmware til software, er det sikkert at sige, at med nok penge, tid og ressourcer kan enhver hardwarebarriere brydes, selvom det er et atomvåben kontrolsystem.”

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• Platoblokkæde. Web3 Metaverse Intelligence. Viden forstærket. Adgang her.
• Kilde: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second