OneKey twierdzi, że naprawił błąd, który spowodował zhakowanie portfela sprzętowego w ciągu 1 sekundy

Dostawca kryptowalutowego portfela sprzętowego OneKey twierdzi, że wyeliminował już lukę w oprogramowaniu sprzętowym, która umożliwiła zhakowanie jednego z jego portfeli sprzętowych w ciągu jednej sekundy.

10 lutego film na YouTube napisali przez startup zajmujący się cyberbezpieczeństwem Unciphered pokazał, że znalazł sposób na wykorzystanie „ogromnej krytycznej luki” w celu „złamania” OneKey Mini.

Według Erica Michauda, ​​partnera w firmie Unciphered, poprzez rozmontowanie urządzenia i wprowadzenie kodu można było przywrócić OneKey Mini do „trybu fabrycznego” i ominąć kod zabezpieczający, co pozwoliło potencjalnemu atakującemu usunąć mnemoniczną frazę używaną do odzyskania portfel. 

[Osadzone treści]

„Masz procesor i element zabezpieczający. Bezpieczny element to miejsce, w którym przechowujesz klucze kryptograficzne. Teraz normalnie komunikacja jest szyfrowana między procesorem, w którym odbywa się przetwarzanie, a bezpiecznym elementem” — wyjaśnił Michaud.

„Cóż, okazuje się, że w tym przypadku nie został do tego zaprojektowany. Więc to, co możesz zrobić, to umieścić narzędzie w środku, które monitoruje komunikację i przechwytuje ją, a następnie wstrzykuje własne polecenia” – powiedział, dodając:

„Zrobiliśmy to, gdy następnie mówi bezpiecznemu elementowi, że jest w trybie fabrycznym i możemy usunąć twoje mnemoniki, czyli twoje pieniądze w krypto”.

Jednak w oświadczeniu z 10 lutego OneKey powiedział, że już to zrobił zaadresowany lukę w zabezpieczeniach zidentyfikowaną przez firmę Unciphered, zauważając, że jej zespół ds. sprzętu zaktualizował łatkę bezpieczeństwa „na początku tego roku” bez „niedotyczącego nikogo” oraz że „Wszystkie ujawnione luki zostały lub są naprawiane”.

Nasza odpowiedź na ostatnie zgłoszenia poprawek zabezpieczeń https://t.co/Dp9nNp1D0U

— Portfel Open Source OneKey (@OneKeyHQ) 10 lutego 2023 r.

„To powiedziawszy, przy frazach haseł i podstawowych praktykach bezpieczeństwa nawet fizyczne ataki ujawnione przez Unciphered nie będą miały wpływu na użytkowników OneKey”. 

Firma podkreśliła ponadto, że chociaż luka jest niepokojąca, wektor ataku zidentyfikowany przez Unciphered nie może być używany zdalnie i wymaga „demontażu urządzenia i fizycznego dostępu za pośrednictwem dedykowanego urządzenia FPGA w laboratorium, aby było możliwe wykonanie”.

Według OneKey, w trakcie korespondencji z Unciphered ujawniono, że inne portfele były okazało się, że mają podobne problemy.

„Wypłaciliśmy również nagrody Unciphered, aby podziękować im za ich wkład w bezpieczeństwo OneKey” – powiedział OneKey.

Związane z: „Nawiedza mnie do dziś” — projekt Crypto zhakowany za 4 miliony dolarów w hotelowym lobby

W swoim poście na blogu OneKey powiedział, że już dołożył wszelkich starań, aby zapewnić bezpieczeństwo swoim użytkownikom, w tym chronić ich przed ataki w łańcuchu dostaw — gdy haker zastępuje prawdziwy portfel portfelem kontrolowanym przez niego. 

Środki podjęte przez OneKey obejmowały odporne na manipulacje opakowania dostaw oraz korzystanie z usług dostawców usług łańcucha dostaw firmy Apple w celu zapewnienia rygorystycznego zarządzania bezpieczeństwem łańcucha dostaw.

W przyszłości mają nadzieję wdrożyć uwierzytelnianie na pokładzie i zaktualizować nowsze portfele sprzętowe o komponenty bezpieczeństwa wyższego poziomu.

OneKey zauważył, że plik main przeznaczenie portfeli sprzętowych zawsze była ochrona pieniędzy użytkowników przed atakami złośliwego oprogramowania, wirusami komputerowymi i innymi zdalnymi zagrożeniami, ale przyznała, że ​​niestety nic nie może być w 100% bezpieczne. 

„Kiedy spojrzymy na cały proces produkcji portfela sprzętowego, od kryształów krzemu po kod chipa, od oprogramowania układowego po oprogramowanie, można śmiało powiedzieć, że przy wystarczającej ilości pieniędzy, czasu i zasobów można przełamać każdą barierę sprzętową, nawet jeśli jest to broń nuklearna System sterowania."

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• Platoblockchain. Web3 Inteligencja Metaverse. Wzmocniona wiedza. Dostęp tutaj.
• Źródło: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second