Der Krypto-Hardware-Wallet-Anbieter OneKey sagt, dass er bereits eine Schwachstelle in seiner Firmware behoben hat, die es ermöglichte, eine seiner Hardware-Wallets innerhalb einer Sekunde zu hacken.
Am 10. Februar ein Video auf YouTube gepostet Das Cybersicherheits-Startup Unciphered zeigte, dass sie einen Weg gefunden hatten, eine „massive kritische Sicherheitslücke“ auszunutzen, um einen OneKey Mini „aufzubrechen“.
Laut Eric Michaud, einem Partner bei Unciphered, war es durch Zerlegen des Geräts und Einfügen einer Codierung möglich, den OneKey Mini in den „Werksmodus“ zurückzusetzen und die Sicherheits-PIN zu umgehen, sodass ein potenzieller Angreifer die mnemonische Phrase entfernen konnte, die zur Wiederherstellung von a verwendet wurde Geldbörse.
[Eingebetteten Inhalt]
„Sie haben die CPU und das sichere Element. Das sichere Element ist der Ort, an dem Sie Ihre Kryptoschlüssel aufbewahren. Jetzt wird normalerweise die Kommunikation zwischen der CPU, wo die Verarbeitung stattfindet, und dem sicheren Element verschlüsselt“, erklärte Michaud.
„Nun, es stellt sich heraus, dass es in diesem Fall nicht dafür konstruiert wurde. Sie könnten also ein Tool in die Mitte stellen, das die Kommunikation überwacht und abfängt und dann ihre eigenen Befehle einfügt“, sagte er und fügte hinzu:
„Wir haben das gemacht, wo es dann dem sicheren Element mitteilt, dass es sich im Werksmodus befindet, und wir können Ihre Mnemonik herausnehmen, die Ihr Geld in Krypto ist.“
In einer Erklärung vom 10. Februar sagte OneKey jedoch, dass dies bereits der Fall sei angesprochen die von Unciphered identifizierte Sicherheitslücke und stellte fest, dass das Hardware-Team den Sicherheitspatch „Anfang dieses Jahres“ aktualisiert hatte, ohne dass „jemand davon betroffen war“, und dass „alle offengelegten Schwachstellen behoben wurden oder werden“.
Unsere Antwort auf aktuelle Berichte zu Sicherheitsfixes https://t.co/Dp9nNp1D0U
— OneKey Open-Source-Brieftasche (@OneKeyHQ) 10. Februar 2023
„Mit Passwortphrasen und grundlegenden Sicherheitspraktiken werden selbst von Unciphered offengelegte physische Angriffe OneKey-Benutzer nicht beeinträchtigen.“
Das Unternehmen betonte weiter, dass die Schwachstelle zwar besorgniserregend sei, der von Unciphered identifizierte Angriffsvektor jedoch nicht aus der Ferne verwendet werden könne und „die Demontage des Geräts und den physischen Zugriff über ein dediziertes FPGA-Gerät im Labor erfordert, um ausgeführt werden zu können“.
Laut OneKey wurde während der Korrespondenz mit Unciphered bekannt, dass andere Brieftaschen verwendet wurden gefunden, ähnliche Probleme zu haben.
„Wir haben Unciphered auch Prämien gezahlt, um ihnen für ihre Beiträge zur Sicherheit von OneKey zu danken“, sagte OneKey.
Related: „Verfolgt mich bis heute“ – Krypto-Projekt für 4 Millionen Dollar in einer Hotellobby gehackt
In seinem Blogbeitrag hat OneKey erklärt, dass es bereits große Anstrengungen unternommen hat, um die Sicherheit seiner Benutzer zu gewährleisten, einschließlich des Schutzes vor Angriffe auf die Lieferkette — wenn ein Hacker eine echte Brieftasche durch eine von ihm kontrollierte ersetzt.
Zu den Maßnahmen von OneKey gehörten manipulationssichere Verpackungen für Lieferungen und der Einsatz von Lieferkettendienstleistern von Apple, um ein strenges Lieferkettensicherheitsmanagement zu gewährleisten.
In Zukunft hoffen sie, eine Onboard-Authentifizierung zu implementieren und neuere Hardware-Wallets mit Sicherheitskomponenten auf höherem Niveau aufzurüsten.
OneKey stellte fest, dass das Wichtigste Zweck von Hardware Wallets Es ging uns schon immer darum, das Geld der Benutzer vor Malware-Angriffen, Computerviren und anderen entfernten Gefahren zu schützen, räumte jedoch ein, dass leider nichts zu 100 % sicher sein kann.
„Wenn wir uns den gesamten Herstellungsprozess der Hardware-Wallet ansehen, von Siliziumkristallen bis zum Chipcode, von der Firmware bis zur Software, kann man mit Sicherheit sagen, dass mit genügend Geld, Zeit und Ressourcen jede Hardware-Barriere durchbrochen werden kann, selbst wenn es sich um eine Atomwaffe handelt Kontrollsystem."
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
- Quelle: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- Zugang
- beeinflussen
- Alle
- Zulassen
- bereits
- immer
- und
- jemand
- Apple
- Attacke
- Anschläge
- Authentifizierung
- Barriere
- basic
- Sein
- zwischen
- Blog
- Kopfgelder
- Häuser
- Kette
- Chip
- Code
- Programmierung
- Cointelegraph
- Kommunikation
- Unternehmen
- Komponenten
- Computer
- Inhalt
- Beiträge
- Smartgeräte App
- gesteuert
- könnte
- Riss
- kritischem
- Krypto
- Internet-Sicherheit
- Gefahren
- gewidmet
- Die Lieferungen
- Gerät
- DID
- im
- Früher
- eingebettet
- verschlüsselt
- genug
- genug Geld
- gewährleisten
- Ganz
- Sogar
- ausführen
- erklärt
- Ausnutzen
- Fabrik
- gemustert
- Fixieren
- fixiert
- Wohnung
- Fehler
- FPGA
- für
- weiter
- Zukunft
- groß
- gehackt
- Hacker
- Hardware
- Hardware Wallet
- Hardware-Geldbörsen
- Besondere
- ein Geschenk
- Hotels
- HTTPS
- identifiziert
- implementieren
- in
- inklusive
- Einschließlich
- IT
- Behalten
- Tasten
- Labor
- aussehen
- Main
- Malware
- Management
- Herstellung
- massiv
- Maßnahmen
- Mitte
- Model
- Geld
- Monitore
- Normalerweise
- bekannt
- Kernenergie
- Onboard
- EINEM
- Ein Schlüssel
- XNUMXh geöffnet
- Open-Source-
- Auftrag
- Andere
- besitzen
- Verpackung
- bezahlt
- Partner
- Passwort
- Patch
- Sätze
- physikalisch
- Plato
- Datenintelligenz von Plato
- PlatoData
- möglich
- Post
- Potenzial
- Praktiken
- Prozessdefinierung
- Verarbeitung
- Projekt
- Risiken zu minimieren
- Schutz
- Versorger
- Anbieter
- setzen
- kürzlich
- Entspannung
- entfernt
- entfernen
- Meldungen
- erfordert
- Downloads
- Antwort
- Rückkehr
- Safe
- Said
- sagt
- Zweite
- Verbindung
- Sicherheitdienst
- Sicherheitsfehler
- Sicherheits-Patch
- Dienstleister
- Silizium
- ähnlich
- So
- Software
- Quelle
- Anfang
- Erklärung
- liefern
- Supply Chain
- System
- Nehmen
- Team
- erzählt
- Das
- ihr
- dieses Jahr
- Durch
- Zeit
- zu
- Werkzeug
- aktualisiert
- mehr Stunden
- -
- Nutzer
- Video
- Viren
- Sicherheitslücken
- Verwundbarkeit
- Wallet
- Börsen
- Was
- welche
- während
- werden wir
- ohne
- Jahr
- Du
- Ihr
- Youtube
- Zephyrnet
