Le fournisseur de portefeuilles matériels cryptographiques OneKey affirme avoir déjà corrigé une vulnérabilité dans son micrologiciel qui permettait à l'un de ses portefeuilles matériels d'être piraté en une seconde.
Le 10 février, une vidéo sur YouTube posté par la startup de cybersécurité Unciphered a montré qu'ils avaient trouvé un moyen d'exploiter une « vulnérabilité critique massive » afin de « ouvrir » un OneKey Mini.
Selon Eric Michaud, partenaire de Unciphered, en démontant l'appareil et en insérant du codage, il était possible de remettre le OneKey Mini en "mode usine" et de contourner le pin de sécurité, permettant à un attaquant potentiel de supprimer la phrase mnémonique utilisée pour récupérer un portefeuille.
[Contenu intégré]
"Vous avez le CPU et l'élément sécurisé. L'élément sécurisé est l'endroit où vous conservez vos clés de chiffrement. Maintenant, normalement, les communications sont cryptées entre le CPU, où le traitement est effectué, et l'élément sécurisé », a expliqué Michaud.
"Eh bien, il s'avère qu'il n'a pas été conçu pour le faire dans ce cas. Donc, ce que vous pourriez faire, c'est mettre un outil au milieu qui surveille les communications et les intercepte, puis injecte ses propres commandes », a-t-il déclaré, ajoutant :
"Nous l'avons fait là où il indique ensuite à l'élément sécurisé qu'il est en mode usine et nous pouvons retirer vos mnémoniques, qui sont votre argent en crypto."
Cependant, dans une déclaration du 10 février, OneKey a déclaré qu'il avait déjà adressé la faille de sécurité identifiée par Unciphered, notant que son équipe matérielle avait mis à jour le correctif de sécurité « plus tôt cette année » sans que « personne ne soit affecté » et que « toutes les vulnérabilités divulguées ont été ou sont en cours de correction ».
Notre réponse aux récents rapports sur les correctifs de sécurité https://t.co/Dp9nNp1D0U
- Portefeuille Open Source OneKey (@OneKeyHQ) 10 février 2023
"Cela dit, avec les phrases de mot de passe et les pratiques de sécurité de base, même les attaques physiques divulguées par Unciphered n'affecteront pas les utilisateurs de OneKey."
La société a en outre souligné que même si la vulnérabilité était préoccupante, le vecteur d'attaque identifié par Unciphered ne peut pas être utilisé à distance et nécessite "le démontage de l'appareil et un accès physique via un appareil FPGA dédié en laboratoire pour pouvoir être exécuté".
Selon OneKey, lors d'une correspondance avec Unciphered, il a été révélé que d'autres portefeuilles avaient été trouvé pour avoir des problèmes similaires.
"Nous avons également payé des primes non chiffrées pour les remercier de leurs contributions à la sécurité de OneKey", a déclaré OneKey.
Connexe: 'Me hante à ce jour' - Un projet Crypto piraté pour 4 millions de dollars dans le hall d'un hôtel
Dans son article de blog, OneKey a déclaré qu'il s'était déjà donné beaucoup de mal pour assurer la sécurité de ses utilisateurs, notamment en les protégeant contre attaques de la chaîne d'approvisionnement – lorsqu'un pirate remplace un véritable portefeuille par un autre qu'il contrôle.
Les mesures de OneKey ont inclus des emballages inviolables pour les livraisons et l'utilisation de fournisseurs de services de chaîne d'approvisionnement d'Apple pour assurer une gestion rigoureuse de la sécurité de la chaîne d'approvisionnement.
À l'avenir, ils espèrent mettre en œuvre l'authentification intégrée et mettre à niveau les nouveaux portefeuilles matériels avec des composants de sécurité de niveau supérieur.
OneKey a noté que le principal but des portefeuilles matériels a toujours été de protéger l'argent des utilisateurs contre les attaques de logiciels malveillants, les virus informatiques et autres dangers à distance, mais a reconnu que malheureusement, rien ne peut être sécurisé à 100 %.
"Lorsque nous examinons l'ensemble du processus de fabrication du portefeuille matériel, des cristaux de silicium au code de la puce, du micrologiciel au logiciel, il est sûr de dire qu'avec suffisamment d'argent, de temps et de ressources, toute barrière matérielle peut être franchie, même s'il s'agit d'une arme nucléaire. Système de contrôle."
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- accès
- affecter
- Tous
- Permettre
- déjà
- toujours
- ainsi que
- chacun.e
- Apple
- attaquer
- Attaques
- Authentification
- une barrière
- Essentiel
- va
- jusqu'à XNUMX fois
- Blog
- primes
- maisons
- chaîne
- puce
- code
- Codage
- Cointelegraph
- Communications
- Société
- composants électriques
- ordinateur
- contenu
- contributions
- des bactéries
- contrôlée
- pourriez
- fissure
- critique
- Crypto
- Cybersécurité
- dangers
- dévoué
- Livraisons
- dispositif
- DID
- pendant
- Plus tôt
- intégré
- crypté
- assez
- assez d'argent
- assurer
- Tout
- Pourtant, la
- exécuter
- expliqué
- Exploiter
- PERSONNEL
- figuré
- Fixer
- fixé
- plat
- défaut
- fpga
- De
- plus
- avenir
- l'
- piraté
- pirate
- Matériel
- Portefeuille de matériel
- Portefeuilles de quincaillerie
- Surbrillance
- d'espérance
- l'hôtel
- HTTPS
- identifié
- Mettre en oeuvre
- in
- inclus
- Y compris
- IT
- XNUMX éléments à
- clés
- laboratoire
- Style
- Entrée
- malware
- gestion
- fabrication
- massif
- les mesures
- Milieu
- Mode
- de l'argent
- moniteurs
- normalement
- noté
- nucléaire
- Débuter
- ONE
- Onekey
- ouvert
- open source
- de commander
- Autre
- propre
- l'emballage
- payé
- les partenaires
- Mot de Passe
- Pièce
- les expressions clés
- Physique
- Platon
- Intelligence des données Platon
- PlatonDonnées
- possible
- Post
- défaillances
- pratiques
- processus
- traitement
- Projet
- protéger
- L'utilisation de sélénite dans un espace est un excellent moyen de neutraliser l'énergie instable ou négative.
- de voiture.
- fournisseurs
- mettre
- récent
- Récupérer
- éloigné
- supprimez
- Rapports
- a besoin
- Resources
- réponse
- retourner
- des
- Saïd
- dit
- Deuxièmement
- sécurisé
- sécurité
- défaut de sécurité
- patch de sécurité
- service
- les fournisseurs de services
- Silicium
- similaires
- So
- Logiciels
- Identifier
- Commencez
- Déclaration
- la quantité
- chaîne d'approvisionnement
- combustion propre
- Prenez
- équipe
- raconte
- La
- leur
- cette année
- Avec
- fiable
- à
- outil
- a actualisé
- améliorer
- utilisé
- utilisateurs
- Vidéo
- virus
- vulnérabilités
- vulnérabilité
- Wallet
- Portefeuilles
- Quoi
- qui
- tout en
- sera
- sans
- an
- Vous n'avez
- Votre
- Youtube
- zéphyrnet
