OneKey אומר שהוא תיקן את הפגם שגרם לארנק החומרה שלו לפרוץ תוך שנייה אחת

ספקית ארנקי החומרה הקריפטו, OneKey, אומרת שהיא כבר טיפלה בפגיעות בקושחה שלה שאפשרה לפרוץ לאחד מארנקי החומרה שלה בשנייה אחת.

ב-10 בפברואר, סרטון ביוטיוב פורסם מאת סטארט-אפ אבטחת סייבר Unciphered הראו שהם מצאו דרך לנצל "פגיעות קריטית מסיבית" כדי "לפתוח" OneKey Mini.

לדברי אריק מישו, שותף ב-Unciphered, על ידי פירוק המכשיר והכנסת קידוד, ניתן היה להחזיר את ה-OneKey Mini ל"מצב מפעל" ולעקוף את סיכת האבטחה, מה שמאפשר לתוקף פוטנציאלי להסיר את ביטוי הזיכרון המשמש לשחזור ארנק. 

[תוכן מוטבע]

"יש לך את המעבד ואת האלמנט המאובטח. האלמנט המאובטח הוא המקום שבו אתה שומר את מפתחות ההצפנה שלך. כעת, בדרך כלל, התקשורת מוצפנת בין המעבד, שבו מתבצע העיבוד, לבין האלמנט המאובטח", הסביר מישו.

"ובכן מסתבר שזה לא תוכנן לעשות זאת במקרה הזה. אז מה שאתה יכול לעשות זה לשים כלי באמצע שמנטר את התקשורת ומיירט אותם ואז מזריק פקודות משלהם", אמר והוסיף:

"עשינו את זה במקום שבו הוא אומר לאלמנט המאובטח שהוא במצב יצרן ונוכל להוציא את הזיכרון שלך, שזה הכסף שלך בקריפטו."

עם זאת, בהצהרה מ-10 בפברואר, OneKey אמרה שזה כבר קרה ממוען ליקוי האבטחה שזוהה על ידי Unciphered, וציין שצוות החומרה שלה עדכן את תיקון האבטחה "מוקדם יותר השנה" מבלי ש"אף אחד הושפע", וכי "כל הפגיעויות שנחשפו תוקנו או מתוקנות".

התגובה שלנו לדוחות תיקון אבטחה אחרונים https://t.co/Dp9nNp1D0U

— ארנק קוד פתוח של OneKey (@OneKeyHQ) פברואר 10, 2023

"עם זאת, עם ביטויי סיסמה ונוהלי אבטחה בסיסיים, אפילו התקפות פיזיות שנחשפו על ידי Unciphered לא ישפיעו על משתמשי OneKey." 

החברה הדגישה עוד כי בעוד שהפגיעות הייתה מודאגת, לא ניתן להשתמש בוקטור התקיפה שזוהה על ידי Unciphered מרחוק ודורש "פירוק של המכשיר וגישה פיזית דרך התקן FPGA ייעודי במעבדה כדי שיהיה אפשרי לביצוע".

לפי OneKey, במהלך התכתבות עם Unciphered, נחשף כי היו ארנקים אחרים נמצא שיש לו בעיות דומות.

"שילמנו גם פרס ל-Unciphered כדי להודות להם על תרומתם לאבטחה של OneKey", אמר OneKey.

מידע נוסף: 'רודף אותי עד היום' - פרויקט קריפטו נפרץ תמורת 4 מיליון דולר בלובי של מלון

בפוסט הבלוג שלה, OneKey אמרה שהיא כבר עשתה מאמצים רבים כדי להבטיח את אבטחת המשתמשים שלה, כולל הגנה עליהם מפני התקפות שרשרת האספקה - כאשר האקר מחליף ארנק מקורי בארנק שנשלט על ידו. 

האמצעים של OneKey כללו אריזה חסינת פגיעה למשלוחים ושימוש בספקי שירותי שרשרת אספקה ​​מאפל כדי להבטיח ניהול אבטחה קפדני של שרשרת האספקה.

בעתיד, הם מקווים ליישם אימות מובנה ולשדרג ארנקי חומרה חדשים יותר עם רכיבי אבטחה ברמה גבוהה יותר.

OneKey ציין שהעיקרי מטרת ארנקי חומרה מאז ומתמיד נועדה להגן על כספי המשתמשים מפני התקפות תוכנות זדוניות, וירוסי מחשב וסכנות מרוחקות אחרות, אבל הכירה בכך שלמרבה הצער, שום דבר לא יכול להיות מאובטח ב-100%. 

"כשאנחנו מסתכלים על כל תהליך ייצור ארנק החומרה, מגבישי סיליקון ועד קוד שבב, מקושחה ועד תוכנה, אפשר לומר בבטחה שעם מספיק כסף, זמן ומשאבים, כל מחסום חומרה יכול להיפרץ, גם אם זה נשק גרעיני מערכת בקרה."

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second