OneKey zegt dat het de fout heeft verholpen waardoor de hardware wallet binnen 1 seconde werd gehackt

Crypto hardware wallet provider OneKey zegt dat het al een kwetsbaarheid in zijn firmware heeft verholpen waardoor een van zijn hardware wallets binnen een seconde kon worden gehackt.

Op 10 februari verschijnt een video op YouTube geplaatst door cybersecurity startup Unciphered liet zien dat ze een manier hadden bedacht om een ​​“enorme kritieke kwetsbaarheid” te misbruiken om een ​​OneKey Mini “open te breken”.

Volgens Eric Michaud, een partner bij Unciphered, was het door het apparaat uit elkaar te halen en codering in te voeren, mogelijk om de OneKey Mini terug te zetten naar de "fabrieksmodus" en de beveiligingspin te omzeilen, waardoor een potentiële aanvaller de geheugensteun kon verwijderen die werd gebruikt om een portemonnee. 

[Ingesloten inhoud]

“Je hebt de CPU en het beveiligde element. Het beveiligde element is waar u uw cryptosleutels bewaart. Nu wordt de communicatie normaal gesproken versleuteld tussen de CPU, waar de verwerking plaatsvindt, en het beveiligde element”, legt Michaud uit.

'Nou, het blijkt dat het in dit geval niet is ontworpen om dat te doen. Dus wat je zou kunnen doen, is een tool in het midden plaatsen die de communicatie bewaakt en onderschept en vervolgens hun eigen commando's injecteert, "zei hij, eraan toevoegend:

"We hebben dat gedaan waar het vervolgens het beveiligde element vertelt dat het zich in de fabrieksmodus bevindt en we kunnen uw geheugensteuntjes eruit halen, wat uw geld in crypto is."

In een verklaring van 10 februari zei OneKey echter dat dit al het geval was aangesproken het beveiligingslek geïdentificeerd door Unciphered, waarbij werd opgemerkt dat het hardwareteam de beveiligingspatch ‘eerder dit jaar’ had bijgewerkt zonder dat ‘iemand er last van had’, en dat ‘alle bekendgemaakte kwetsbaarheden zijn of worden verholpen’.

Onze reactie op recente beveiligingsreparatierapporten https://t.co/Dp9nNp1D0U

- OneKey Open Source-portemonnee (@OneKeyHQ) 10 februari 2023

"Dat gezegd hebbende, met wachtwoordzinnen en basisbeveiligingspraktijken, zullen zelfs fysieke aanvallen die door Unciphered worden onthuld, geen invloed hebben op OneKey-gebruikers." 

Het bedrijf benadrukte verder dat hoewel de kwetsbaarheid zorgwekkend was, de door Unciphered geïdentificeerde aanvalsvector niet op afstand kan worden gebruikt en "demontage van het apparaat en fysieke toegang via een speciaal FPGA-apparaat in het lab vereist om te kunnen worden uitgevoerd".

Volgens OneKey is tijdens correspondentie met Unciphered bekend gemaakt dat er andere wallets zijn geweest bleek soortgelijke problemen te hebben.

"We hebben ook Unciphered-premies betaald om hen te bedanken voor hun bijdragen aan de beveiliging van OneKey", aldus OneKey.

Zie ook: 'Achtervolgt me tot op de dag van vandaag' - Crypto-project gehackt voor $ 4 miljoen in een hotellobby

In zijn blogpost heeft OneKey gezegd dat het al veel moeite heeft gedaan om de veiligheid van zijn gebruikers te waarborgen, inclusief het beschermen tegen aanvallen op de toeleveringsketen — wanneer een hacker een echte portemonnee vervangt door een door hem gecontroleerde portemonnee. 

De maatregelen van OneKey omvatten fraudebestendige verpakkingen voor leveringen en het gebruik van supply chain-serviceproviders van Apple om een ​​streng beveiligingsbeheer voor de supply chain te waarborgen.

In de toekomst hopen ze ingebouwde authenticatie te implementeren en nieuwere hardware-wallets te upgraden met beveiligingscomponenten van een hoger niveau.

OneKey merkte op dat de belangrijkste doel van hardware wallets is altijd geweest om het geld van gebruikers te beschermen tegen malware-aanvallen, computervirussen en andere gevaren op afstand, maar erkent dat helaas niets 100% veilig kan zijn. 

“Als we kijken naar het hele fabricageproces van de hardware wallet, van siliciumkristallen tot chipcode, van firmware tot software, kunnen we gerust zeggen dat met voldoende geld, tijd en middelen elke hardwarebarrière kan worden doorbroken, zelfs als het een nucleair wapen is. controle systeem."

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second