OneKey sier at den har rettet feilen som fikk maskinvarelommeboken hacket på 1 sekund

Leverandøren av krypto-maskinvarelommebøker OneKey sier at den allerede har løst en sårbarhet i fastvaren som gjorde at en av maskinvarelommebøkene kunne hackes på ett sekund.

10. februar, en video på YouTube postet av cybersecurity-oppstart Unciphered viste at de hadde funnet ut en måte å utnytte en "massiv kritisk sårbarhet" for å "knekke opp" en OneKey Mini.

Ifølge Eric Michaud, en partner hos Unciphered, ved å demontere enheten og sette inn koding, var det mulig å returnere OneKey Mini til "fabrikkmodus" og omgå sikkerhetsnålen, slik at en potensiell angriper kunne fjerne den mnemoniske setningen som ble brukt til å gjenopprette en lommebok. 

[Innebygd innhold]

"Du har CPU og det sikre elementet. Det sikre elementet er der du oppbevarer kryptonøklene dine. Nå, normalt, er kommunikasjonen kryptert mellom CPU-en, der behandlingen gjøres, og det sikre elementet,» forklarte Michaud.

"Vel det viser seg at det ikke var konstruert for å gjøre det i dette tilfellet. Så det du kan gjøre er å sette et verktøy i midten som overvåker kommunikasjonen og avskjærer dem og deretter injiserer deres egne kommandoer," sa han og la til:

"Vi gjorde det der den deretter forteller det sikre elementet at det er i fabrikkmodus, og vi kan ta ut minnene dine, som er pengene dine i krypto."

Men i en uttalelse 10. februar sa OneKey at det allerede hadde gjort det adressert sikkerhetsfeilen identifisert av Unciphered, og la merke til at maskinvareteamet hadde oppdatert sikkerhetsoppdateringen "tidligere i år" uten at "noen ble berørt", og at "Alle avslørte sårbarheter har blitt eller blir fikset."

Vårt svar på nylige sikkerhetsoppdateringsrapporter https://t.co/Dp9nNp1D0U

— OneKey Open Source Wallet (@OneKeyHQ) Februar 10, 2023

"Når det er sagt, med passordfraser og grunnleggende sikkerhetspraksis, vil selv fysiske angrep avslørt av Unciphered ikke påvirke OneKey-brukere." 

Selskapet fremhevet videre at selv om sårbarheten gjaldt, kan angrepsvektoren identifisert av Unciphered ikke brukes eksternt og krever "demontering av enheten og fysisk tilgang gjennom en dedikert FPGA-enhet i laboratoriet for å være mulig å utføre."

Ifølge OneKey, under korrespondanse med Unciphered, ble det avslørt at andre lommebøker har vært funnet å ha lignende problemer.

"Vi betalte også Unciphered-premier for å takke dem for deres bidrag til OneKeys sikkerhet," sa OneKey.

Relatert: 'Haunts me to this day' — Krypto-prosjektet hacket for $4M i en hotellobby

I sitt blogginnlegg har OneKey sagt at det allerede har gjort store anstrengelser for å sikre sikkerheten til brukerne, inkludert å beskytte dem mot forsyningskjedeangrep — når en hacker erstatter en ekte lommebok med en som kontrolleres av dem. 

OneKeys tiltak har inkludert manipulasjonssikker emballasje for leveranser og bruk av leverandører av forsyningskjedetjenester fra Apple for å sikre streng sikkerhetsstyring i forsyningskjeden.

I fremtiden håper de å implementere innebygd autentisering og oppgradere nyere maskinvarelommebøker med sikkerhetskomponenter på høyere nivå.

OneKey bemerket at den viktigste formålet med maskinvare lommebøker har alltid vært for å beskytte brukernes penger mot malware-angrep, datavirus og andre eksterne farer, men erkjente at dessverre kan ingenting være 100 % sikkert. 

"Når vi ser på hele produksjonsprosessen for maskinvarelommebok, fra silisiumkrystaller til brikkekode, fra fastvare til programvare, er det trygt å si at med nok penger, tid og ressurser kan enhver maskinvarebarriere brytes, selv om det er et atomvåpen kontrollsystem."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• Platoblokkkjede. Web3 Metaverse Intelligence. Kunnskap forsterket. Tilgang her.
• kilde: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second