El proveedor de billeteras de hardware criptográfico OneKey dice que ya ha abordado una vulnerabilidad en su firmware que permitió que una de sus billeteras de hardware fuera pirateada en un segundo plano.
El 10 de febrero, un vídeo en YouTube publicado de la startup de ciberseguridad Unciphered demostró que habían descubierto una manera de explotar una “vulnerabilidad crítica masiva” para “abrir” un OneKey Mini.
Según Eric Michaud, socio de Unciphered, al desmontar el dispositivo e insertar la codificación, fue posible devolver el OneKey Mini al "modo de fábrica" y eludir el pin de seguridad, lo que permitió a un atacante potencial eliminar la frase mnemotécnica utilizada para recuperar un billetera.
[Contenido incrustado]
“Tienes la CPU y el elemento seguro. El elemento seguro es donde guarda sus claves criptográficas. Ahora, normalmente, las comunicaciones se cifran entre la CPU, donde se realiza el procesamiento, y el elemento seguro”, explicó Michaud.
“Bueno, resulta que no fue diseñado para hacerlo en este caso. Entonces, lo que podría hacer es poner una herramienta en el medio que monitoree las comunicaciones y las intercepte y luego inyecte sus propios comandos”, dijo, y agregó:
"Hicimos eso donde luego le dice al elemento seguro que está en modo de fábrica y podemos eliminar su mnemotecnia, que es su dinero en criptografía".
Sin embargo, en una declaración del 10 de febrero, OneKey dijo que ya había dirigido la falla de seguridad identificada por Unciphered, señalando que su equipo de hardware había actualizado el parche de seguridad “a principios de este año” sin que “nadie se viera afectado” y que “todas las vulnerabilidades reveladas han sido o están siendo solucionadas”.
Nuestra respuesta a los recientes informes de corrección de seguridad https://t.co/Dp9nNp1D0U
— Monedero de código abierto OneKey (@OneKeyHQ) Febrero 10, 2023
“Dicho esto, con frases de contraseña y prácticas básicas de seguridad, incluso los ataques físicos revelados por Unciphered no afectarán a los usuarios de OneKey”.
La compañía destacó además que, si bien la vulnerabilidad era preocupante, el vector de ataque identificado por Unciphered no se puede usar de forma remota y requiere "el desmontaje del dispositivo y el acceso físico a través de un dispositivo FPGA dedicado en el laboratorio para poder ejecutarlo".
Según OneKey, durante la correspondencia con Unciphered, se reveló que otras billeteras han sido encontrado tener problemas similares.
“También pagamos recompensas a Unciphered para agradecerles por sus contribuciones a la seguridad de OneKey”, dijo OneKey.
Relacionado: 'Me atormenta hasta el día de hoy': proyecto criptográfico pirateado por $ 4 millones en el vestíbulo de un hotel
En su publicación de blog, OneKey ha dicho que ya se ha esforzado mucho para garantizar la seguridad de sus usuarios, incluida la protección contra ataques a la cadena de suministro — cuando un pirata informático reemplaza una billetera genuina con una controlada por ellos.
Las medidas de OneKey han incluido empaques a prueba de manipulaciones para las entregas y el uso de proveedores de servicios de la cadena de suministro de Apple para garantizar una gestión estricta de la seguridad de la cadena de suministro.
En el futuro, esperan implementar la autenticación integrada y actualizar las billeteras de hardware más nuevas con componentes de seguridad de mayor nivel.
OneKey señaló que el principal propósito de las billeteras de hardware siempre ha sido proteger el dinero de los usuarios de ataques de malware, virus informáticos y otros peligros remotos, pero reconoció que lamentablemente nada puede ser 100% seguro.
“Cuando observamos todo el proceso de fabricación de la billetera de hardware, desde los cristales de silicio hasta el código del chip, desde el firmware hasta el software, es seguro decir que con suficiente dinero, tiempo y recursos, se puede romper cualquier barrera de hardware, incluso si se trata de un arma nuclear. sistema de control."
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- de la máquina
- afectar
- Todos
- Permitir
- ya haya utilizado
- hacerlo
- y
- nadie
- Apple
- atacar
- ataques
- Autenticación
- barrera
- básica
- "Ser"
- entre
- Blog
- recompensas
- case
- cadena
- chip
- código
- Codificación
- Cointelegraph
- Comunicaciónes
- compañía
- componentes
- computadora
- contenido
- contribuciones
- control
- controlado
- podría
- grieta
- crítico
- cripto
- La Ciberseguridad
- peligros
- a dedicados
- Las entregas
- dispositivo
- HIZO
- durante
- Más temprano
- integrado
- cifrado
- suficientes
- suficiente dinero
- garantizar
- Todo
- Incluso
- ejecutar
- explicado
- Explotar
- personal
- calculado
- Fijar
- fijas
- plano
- falla
- FPGA
- Desde
- promover
- futuras
- maravillosa
- hackeado
- pirata informático
- Materiales
- Monedero de hardware
- Carteras de hardware
- Destacado
- esperanza
- hoteles
- HTTPS
- no haber aun identificado una solucion para el problema
- implementar
- in
- incluido
- Incluye
- IT
- Guardar
- claves
- el lab
- Mira
- Inicio
- el malware
- Management
- Fabricación
- masivo
- medidas
- Ed. Media
- Moda
- dinero
- monitores
- normalmente
- señaló
- nuclear
- A bordo
- ONE
- Onekey
- habiertos
- de código abierto
- solicite
- Otro
- EL DESARROLLADOR
- embalaje
- dinero
- Socio
- Contraseña
- Patch
- frases
- los libros físicos
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- posible
- Publicación
- posible
- prácticas
- tratamiento
- proyecto
- proteger
- protector
- proveedor
- los proveedores
- poner
- reciente
- Recuperar
- sanaciones
- remove
- Informes
- requiere
- Recursos
- respuesta
- volvemos
- ambiente seguro
- Said
- dice
- Segundo
- seguro
- EN LINEA
- falla de seguridad
- parche de seguridad
- de coches
- proveedores de servicios
- Silicio
- similares
- So
- Software
- Fuente
- inicio
- Posicionamiento
- suministro
- cadena de suministro
- te
- ¡Prepárate!
- equipo
- decirles
- La
- su
- este año
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- equipo
- a
- del IRS
- actualizado
- actualizar
- utilizan el
- usuarios
- Video
- virus
- Vulnerabilidades
- vulnerabilidad
- Billetera
- Carteras
- ¿
- que
- mientras
- seguirá
- sin
- año
- Usted
- tú
- Youtube
- zephyrnet