OneKey는 하드웨어 지갑이 1초 만에 해킹당하는 결함을 수정했다고 밝혔습니다.

팔로워 : 0

암호화 하드웨어 지갑 제공업체인 원키(OneKey)는 하드웨어 지갑 중 하나가 XNUMX초만에 해킹될 수 있는 펌웨어의 취약점을 이미 해결했다고 밝혔습니다.

10월 XNUMX일 유튜브에 올라온 영상 게시 사이버 보안 스타트업인 Unciphered는 OneKey Mini를 "깨기" 위해 "대규모 치명적인 취약점"을 악용하는 방법을 찾아냈다고 밝혔습니다.

Unciphered의 파트너인 Eric Michaud에 따르면 장치를 분해하고 코딩을 삽입하면 OneKey Mini를 "공장 모드"로 되돌리고 보안 핀을 우회하여 잠재적인 공격자가 암호를 복구하는 데 사용되는 니모닉 문구를 제거할 수 있습니다. 지갑.

[포함 된 콘텐츠]

“CPU와 보안 요소가 있습니다. 보안 요소는 암호화 키를 보관하는 곳입니다. 이제 일반적으로 통신은 처리가 수행되는 CPU와 보안 요소 사이에서 암호화됩니다.”라고 Michaud는 설명했습니다.

“이 경우에는 그렇게 하도록 설계되지 않은 것으로 밝혀졌습니다. 따라서 통신을 모니터링하고 가로챈 다음 자체 명령을 주입하는 도구를 중간에 배치할 수 있습니다.”라고 그는 덧붙였습니다.

"우리는 공장 모드에 있는 보안 요소를 알려주는 곳에서 그렇게 했고, 우리는 당신의 니모닉을 꺼낼 수 있습니다. 그것은 당신의 암호 화폐입니다."

그러나 10월 XNUMX일 성명에서 OneKey는 이미 해결 된 Unciphered가 확인한 보안 결함은 하드웨어 팀이 "누구나 영향을 받지 않고" "올해 초" 보안 패치를 업데이트했으며 "공개된 모든 취약점은 이미 수정되었거나 수정 중입니다"라고 언급했습니다.

최근 보안 수정 보고서에 대한 당사의 대응 https://t.co/Dp9nNp1D0U

— OneKey 오픈 소스 지갑(@OneKeyHQ) 2023년 ２월 10일

"즉, 암호 구문과 기본 보안 관행을 사용하면 Unciphered가 공개한 물리적 공격도 OneKey 사용자에게 영향을 미치지 않습니다."

이 회사는 취약점이 우려되지만 Unciphered로 식별된 공격 벡터는 원격으로 사용할 수 없으며 "실행이 가능하려면 실험실의 전용 FPGA 장치를 통한 장치 분해 및 물리적 액세스"가 필요하다고 강조했습니다.

OneKey에 따르면 Unciphered와의 통신 중에 다른 지갑이 유사한 문제가 있는 것으로 확인됨.

“우리는 또한 OneKey의 보안에 기여한 것에 대한 감사의 뜻으로 Unciphered 포상금을 지급했습니다.”라고 OneKey는 말했습니다.

블로그 게시물에서 OneKey는 이미 사용자를 보호하는 것을 포함하여 사용자의 보안을 보장하기 위해 많은 노력을 기울였다고 밝혔습니다. 공급망 공격 — 해커가 정품 지갑을 자신이 관리하는 지갑으로 교체하는 경우.

OneKey의 조치에는 엄격한 공급망 보안 관리를 보장하기 위해 배송을 위한 변조 방지 포장과 Apple의 공급망 서비스 제공업체 사용이 포함되었습니다.

앞으로 그들은 온보드 인증을 구현하고 더 높은 수준의 보안 구성 요소로 최신 하드웨어 지갑을 업그레이드하기를 희망합니다.

OneKey는 다음과 같이 언급했습니다. 하드웨어 지갑의 목적 는 항상 맬웨어 공격, 컴퓨터 바이러스 및 기타 원격 위험으로부터 사용자의 돈을 보호해 왔지만 안타깝게도 그 어떤 것도 100% 안전할 수는 없다는 점을 인정했습니다.

“실리콘 결정에서 칩 코드, 펌웨어에서 소프트웨어에 이르기까지 전체 하드웨어 지갑 제조 프로세스를 살펴보면 충분한 돈, 시간 및 리소스가 있으면 핵무기일지라도 모든 하드웨어 장벽을 뚫을 수 있다고 말하는 것이 안전합니다. 제어 시스템."

타임 스탬프 : 9년 2022월 XNUMX일

OneKey는 하드웨어 지갑이 1초 만에 해킹된 결함을 수정했다고 말합니다.