OneKey ütleb, et see on parandanud vea, mille tõttu tema riistvaraline rahakott 1 sekundiga häkkis

Krüpto riistvara rahakoti pakkuja OneKey ütleb, et on juba kõrvaldanud oma püsivara haavatavuse, mis võimaldas ühte tema riistvarataskudest ühe sekundi jooksul sisse häkkida.

10. veebruaril video YouTube'is postitanud küberjulgeoleku idufirma Unciphered näitas, et nad olid välja mõelnud viisi, kuidas kasutada ära "massiivset kriitilist haavatavust", et OneKey Mini "avamiseks lahti murda".

Uncipheredi partneri Eric Michaudi sõnul oli seadme lahtivõtmise ja kodeerimise sisestamisega võimalik OneKey Mini naasta tehaserežiimi ja turvanööpnõelast mööda minna, võimaldades potentsiaalsel ründajal eemaldada mälupulga, mida kasutati seadme taastamiseks. rahakott. 

[Varjatud sisu]

"Teil on protsessor ja turvaelement. Turvaline element on koht, kus hoiate oma krüptovõtmeid. Nüüd on side tavaliselt krüpteeritud protsessori, kus töötlemine toimub, ja turvalise elemendi vahel, ”selgitas Michaud.

„Selgub, et antud juhul ei olnud see selleks loodud. Nii et mida saate teha, on panna keskele tööriist, mis jälgib sidet ja pealtkuulamist ning seejärel sisestab oma käsud," ütles ta ja lisas:

"Tegime seda nii, et see teatab turvalisele elemendile, et see on tehaserežiimis, ja me saame teie märguanded välja võtta, mis on teie krüptoraha."

Kuid OneKey ütles 10. veebruari avalduses, et see on juba juhtunud adresseeritud Uncipheredi tuvastatud turvaviga, märkides, et selle riistvarameeskond oli värskendanud turbepaika "selle aasta alguses", ilma et see oleks "kedagi mõjutanud" ja et "kõik avalikustatud haavatavused on parandatud või parandamisel."

Meie vastus hiljutistele turvaparandusaruannetele https://t.co/Dp9nNp1D0U

- OneKey avatud lähtekoodiga rahakott (@OneKeyHQ) Veebruar 10, 2023

"See tähendab, et paroolifraaside ja põhiliste turvatavadega ei mõjuta isegi Uncipheredi avalikustatud füüsilised rünnakud OneKey kasutajaid." 

Ettevõte rõhutas veel, et kuigi haavatavus oli murettekitav, ei saa Uncipheredi tuvastatud ründevektorit eemalt kasutada ja selle käivitamiseks on vaja seadme lahtivõtmist ja füüsilist juurdepääsu laboris spetsiaalse FPGA-seadme kaudu.

OneKey sõnul avalikustati Uncipherediga peetud kirjavahetuse käigus, et teisi rahakotte on olnud leitud, et neil on sarnased probleemid.

"Samuti maksime Uncipheredi preemiaid, et tänada neid nende panuse eest OneKey turvalisusesse," ütles OneKey.

Seotud: "Kummitab mind tänaseni" – krüptoprojekt häkiti hotelli fuajees 4 miljoni dollari eest

OneKey on oma ajaveebipostituses öelnud, et on juba näinud palju vaeva, et tagada oma kasutajate turvalisus, sealhulgas kaitsta neid tarneahela rünnakud — kui häkker asendab ehtsa rahakoti enda kontrollitavaga. 

OneKey meetmed on hõlmanud tarnete võltsimiskindlaid pakendeid ja Apple'i tarneahela teenusepakkujate kasutamist, et tagada tarneahela range turvahaldus.

Tulevikus loodavad nad rakendada pardal autentimist ja uuendada uuemaid riistvarataskuid kõrgema taseme turvakomponentidega.

OneKey märkis, et peamine riistvaraliste rahakottide eesmärk on alati kaitsnud kasutajate raha pahavara rünnakute, arvutiviiruste ja muude kaugõnnetuste eest, kuid tunnistas, et kahjuks ei saa miski olla 100% turvaline. 

„Kui vaatame kogu riistvarakoti tootmisprotsessi, ränikristallidest kiibikoodini, püsivarast tarkvarani, võib kindlalt väita, et piisava raha, aja ja ressurssidega saab iga riistvarabarjääri läbi murda, isegi kui tegemist on tuumarelvaga. kontrollsüsteem."

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
• Allikas: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second