Leverandøren av krypto-maskinvarelommebøker OneKey sier at den allerede har løst en sårbarhet i fastvaren som gjorde at en av maskinvarelommebøkene kunne hackes på ett sekund.
10. februar, en video på YouTube postet av cybersecurity-oppstart Unciphered viste at de hadde funnet ut en måte å utnytte en "massiv kritisk sårbarhet" for å "knekke opp" en OneKey Mini.
Ifølge Eric Michaud, en partner hos Unciphered, ved å demontere enheten og sette inn koding, var det mulig å returnere OneKey Mini til "fabrikkmodus" og omgå sikkerhetsnålen, slik at en potensiell angriper kunne fjerne den mnemoniske setningen som ble brukt til å gjenopprette en lommebok.
[Innebygd innhold]
"Du har CPU og det sikre elementet. Det sikre elementet er der du oppbevarer kryptonøklene dine. Nå, normalt, er kommunikasjonen kryptert mellom CPU-en, der behandlingen gjøres, og det sikre elementet,» forklarte Michaud.
"Vel det viser seg at det ikke var konstruert for å gjøre det i dette tilfellet. Så det du kan gjøre er å sette et verktøy i midten som overvåker kommunikasjonen og avskjærer dem og deretter injiserer deres egne kommandoer," sa han og la til:
"Vi gjorde det der den deretter forteller det sikre elementet at det er i fabrikkmodus, og vi kan ta ut minnene dine, som er pengene dine i krypto."
Men i en uttalelse 10. februar sa OneKey at det allerede hadde gjort det adressert sikkerhetsfeilen identifisert av Unciphered, og la merke til at maskinvareteamet hadde oppdatert sikkerhetsoppdateringen "tidligere i år" uten at "noen ble berørt", og at "Alle avslørte sårbarheter har blitt eller blir fikset."
Vårt svar på nylige sikkerhetsoppdateringsrapporter https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) Februar 10, 2023
"Når det er sagt, med passordfraser og grunnleggende sikkerhetspraksis, vil selv fysiske angrep avslørt av Unciphered ikke påvirke OneKey-brukere."
Selskapet fremhevet videre at selv om sårbarheten gjaldt, kan angrepsvektoren identifisert av Unciphered ikke brukes eksternt og krever "demontering av enheten og fysisk tilgang gjennom en dedikert FPGA-enhet i laboratoriet for å være mulig å utføre."
Ifølge OneKey, under korrespondanse med Unciphered, ble det avslørt at andre lommebøker har vært funnet å ha lignende problemer.
"Vi betalte også Unciphered-premier for å takke dem for deres bidrag til OneKeys sikkerhet," sa OneKey.
Relatert: 'Haunts me to this day' — Krypto-prosjektet hacket for $4M i en hotellobby
I sitt blogginnlegg har OneKey sagt at det allerede har gjort store anstrengelser for å sikre sikkerheten til brukerne, inkludert å beskytte dem mot forsyningskjedeangrep — når en hacker erstatter en ekte lommebok med en som kontrolleres av dem.
OneKeys tiltak har inkludert manipulasjonssikker emballasje for leveranser og bruk av leverandører av forsyningskjedetjenester fra Apple for å sikre streng sikkerhetsstyring i forsyningskjeden.
I fremtiden håper de å implementere innebygd autentisering og oppgradere nyere maskinvarelommebøker med sikkerhetskomponenter på høyere nivå.
OneKey bemerket at den viktigste formålet med maskinvare lommebøker har alltid vært for å beskytte brukernes penger mot malware-angrep, datavirus og andre eksterne farer, men erkjente at dessverre kan ingenting være 100 % sikkert.
"Når vi ser på hele produksjonsprosessen for maskinvarelommebok, fra silisiumkrystaller til brikkekode, fra fastvare til programvare, er det trygt å si at med nok penger, tid og ressurser kan enhver maskinvarebarriere brytes, selv om det er et atomvåpen kontrollsystem."
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
- kilde: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- adgang
- påvirke
- Alle
- tillate
- allerede
- alltid
- og
- noen
- eple
- angripe
- Angrep
- Autentisering
- barriere
- grunnleggende
- være
- mellom
- Blogg
- gaver
- saken
- kjede
- chip
- kode
- Koding
- Cointelegraph
- kommunikasjon
- Selskapet
- komponenter
- datamaskin
- innhold
- bidragene
- kontroll
- kontrolleres
- kunne
- crack
- kritisk
- krypto
- Cybersecurity
- farene
- dedikert
- leveransene
- enhet
- gJORDE
- under
- Tidligere
- innebygd
- kryptert
- nok
- nok penger
- sikre
- Hele
- Selv
- henrette
- forklarte
- Exploit
- fabrikk
- tenkte
- Fix
- fikset
- flate
- feil
- FPGA
- fra
- videre
- framtid
- flott
- hacket
- hacker
- maskinvare
- Maskinvare lommebok
- Maskinvare lommebøker
- Fremhevet
- håp
- hotell
- HTTPS
- identifisert
- iverksette
- in
- inkludert
- Inkludert
- IT
- Hold
- nøkler
- lab
- Se
- Hoved
- malware
- ledelse
- produksjon
- massive
- målinger
- Middle
- Mote
- penger
- skjermer
- normalt
- bemerket
- kjernekraft
- Ombord
- ONE
- En nøkkel
- åpen
- åpen kildekode
- rekkefølge
- Annen
- egen
- emballasje
- betalt
- partner
- Passord
- patch
- setninger
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- mulig
- Post
- potensiell
- praksis
- prosess
- prosessering
- prosjekt
- beskytte
- beskytte
- leverandør
- tilbydere
- sette
- nylig
- Gjenopprette
- fjernkontroll
- fjerne
- Rapporter
- Krever
- Ressurser
- svar
- retur
- trygge
- Sa
- sier
- Sekund
- sikre
- sikkerhet
- sikkerhetsfeil
- sikkerhetsoppdatering
- tjeneste
- tjenestetilbydere
- Silicon
- lignende
- So
- Software
- kilde
- oppstart
- Uttalelse
- levere
- forsyningskjeden
- system
- Ta
- lag
- forteller
- De
- deres
- dette året
- Gjennom
- tid
- til
- verktøy
- oppdatert
- oppgradering
- bruke
- Brukere
- video
- virus
- Sikkerhetsproblemer
- sårbarhet
- lommebok
- Lommebøker
- Hva
- hvilken
- mens
- vil
- uten
- år
- Du
- Din
- youtube
- zephyrnet