OneKey sanoo korjanneensa vian, jonka vuoksi sen laitteistolompakko hakkeroitiin yhdessä sekunnissa

Salauslaitteiston lompakkotoimittaja OneKey sanoo, että se on jo korjannut laiteohjelmistonsa haavoittuvuuden, joka mahdollisti yhden sen laitteistolompakoiden hakkeroinnin sekunnissa.

10. helmikuuta video YouTubessa posted Kyberturvallisuuden käynnistys Unciphered osoitti, että he olivat keksineet tavan hyödyntää "massiivista kriittistä haavoittuvuutta" OneKey Minin "särkemiseksi".

Uncipheredin yhteistyökumppanin Eric Michaudin mukaan, kun laite purettiin ja koodaus asetettiin, OneKey Mini oli mahdollista palauttaa "tehdastilaan" ja ohittaa turvanasta, jolloin mahdollinen hyökkääjä pystyi poistamaan muistolauseen, jota käytetään palauttamaan lompakko. 

[Upotetun sisällön]

"Sinulla on suoritin ja suojauselementti. Turvallinen elementti on paikka, jossa säilytät kryptoavaimesi. Nyt normaalisti viestintä on salattu prosessorin, jossa prosessointi tapahtuu, ja suojatun elementin välillä", Michaud selitti.

"No, kävi ilmi, että sitä ei ollut suunniteltu tekemään niin tässä tapauksessa. Joten mitä voit tehdä, on laittaa keskelle työkalu, joka valvoo viestintää ja sieppaa niitä ja sitten antaa omat komentonsa", hän sanoi ja lisäsi:

"Teimme sen, kun se sitten kertoo suojatulle elementille, että se on tehdastilassa, ja voimme ottaa muistikirjasi pois, mikä on rahaasi kryptossa."

Kuitenkin 10. helmikuuta antamassaan lausunnossa OneKey sanoi, että se oli jo tehnyt osoitettu Uncipheredin tunnistama tietoturvavirhe ja huomautti, että sen laitteistotiimi oli päivittänyt tietoturvakorjauksen "aiemmin tänä vuonna" ilman, että "vaikutus olisi ollut ketään" ja että "kaikki paljastetut haavoittuvuudet on korjattu tai korjataan".

Vastauksemme viimeisimpiin tietoturvakorjausraportteihin https://t.co/Dp9nNp1D0U

- OneKey avoimen lähdekoodin lompakko (@OneKeyHQ) Helmikuu 10, 2023

"Salasanalauseilla ja perusturvakäytännöillä edes Uncipheredin paljastamat fyysiset hyökkäykset eivät vaikuta OneKeyn käyttäjiin." 

Yhtiö korosti lisäksi, että vaikka haavoittuvuus oli huolestuttavaa, Uncipheredin tunnistamaa hyökkäysvektoria ei voida käyttää etänä, ja se vaatii "laitteen purkamisen ja fyysisen pääsyn laboratoriossa olevan FPGA-laitteen kautta, jotta se voidaan suorittaa."

OneKeyn mukaan Uncipheredin kanssa käydyn kirjeenvaihdon aikana paljastettiin, että muita lompakoita on ollut todettu olevan samanlaisia ​​ongelmia.

"Maksoimme myös Unciphered-palkkioita kiittääksemme heitä heidän panoksestaan ​​OneKeyn tietoturvaan", OneKey sanoi.

Related: "Kustuttaa minua tähän päivään asti" – Crypto-projekti hakkeroitu 4 miljoonalla dollarilla hotellin aulassa

Blogiviestissään OneKey on sanonut, että se on jo tehnyt suuria ponnisteluja varmistaakseen käyttäjiensä turvallisuuden, muun muassa suojellakseen heitä toimitusketjun hyökkäykset – kun hakkeri vaihtaa aidon lompakon hallussaan olevaan. 

OneKeyn toimenpiteisiin on kuulunut toimitusten väärentämisen estävä pakkaus ja Applen toimitusketjun palveluntarjoajien käyttö toimitusketjun tiukan turvallisuuden hallinnan varmistamiseksi.

Tulevaisuudessa he toivovat voivansa ottaa käyttöön sisäisen todennuksen ja päivittää uudemmat laitteistolompakot korkeamman tason tietoturvakomponenteilla.

OneKey huomautti, että tärkein laitteistolompakoiden tarkoitus on aina ollut suojella käyttäjien rahoja haittaohjelmahyökkäyksiltä, ​​tietokoneviruksilta ja muilta etäisiltä vaaroilta, mutta myönsi, että valitettavasti mikään ei voi olla 100 % turvallista. 

"Kun tarkastelemme koko laitteistolompakon valmistusprosessia piikiteistä sirukoodiin, laiteohjelmistosta ohjelmistoon, on turvallista sanoa, että riittävällä rahalla, ajalla ja resursseilla mikä tahansa laitteistoeste voidaan rikkoa, vaikka se olisi ydinase. ohjausjärjestelmä."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
• Lähde: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second