Furnizorul de portofel hardware cripto OneKey spune că a rezolvat deja o vulnerabilitate în firmware-ul său care a permis ca unul dintre portofelele sale hardware să fie spart într-o secundă.
Pe 10 februarie, un videoclip pe YouTube postat de către startup-ul de securitate cibernetică Unciphered a arătat că au găsit o modalitate de a exploata o „vulnerabilitate critică masivă” pentru a „deschide” un OneKey Mini.
Potrivit lui Eric Michaud, partener la Unciphered, prin dezasamblarea dispozitivului și inserarea codului, a fost posibil să readuceți OneKey Mini în „modul fabrică” și să ocoliți codul de securitate, permițând unui potențial atacator să elimine expresia mnemonică folosită pentru a recupera un portofel.
[Conținutul încorporat]
„Aveți CPU și elementul securizat. Elementul sigur este locul în care vă păstrați cheile cripto. Acum, în mod normal, comunicațiile sunt criptate între CPU, unde se face procesarea, și elementul securizat”, a explicat Michaud.
„Ei bine, se pare că nu a fost proiectat să facă acest lucru în acest caz. Deci, ceea ce puteți face este să puneți un instrument în mijloc care monitorizează comunicațiile și le interceptează și apoi le injectează propriile comenzi”, a spus el, adăugând:
„Am făcut asta în cazul în care apoi îi spune elementului securizat că este în modul fabrică și vă putem scoate mnemonicii, care sunt banii tăi în cripto”.
Cu toate acestea, într-o declarație din 10 februarie, OneKey a spus că a făcut-o deja adresat defectul de securitate identificat de Unciphered, menționând că echipa sa de hardware a actualizat patch-ul de securitate „la începutul acestui an” fără ca „nimeni să fie afectat” și că „Toate vulnerabilitățile dezvăluite au fost sau sunt remediate”.
Răspunsul nostru la rapoartele recente de corecție de securitate https://t.co/Dp9nNp1D0U
— Portofel cu sursă deschisă OneKey (@OneKeyHQ) 10 Februarie 2023
„Aceasta fiind spuse, cu fraze de parolă și practici de securitate de bază, chiar și atacurile fizice dezvăluite de Unciphered nu vor afecta utilizatorii OneKey.”
Compania a mai subliniat că, deși vulnerabilitatea era îngrijorătoare, vectorul de atac identificat de Unciphered nu poate fi utilizat de la distanță și necesită „dezasamblarea dispozitivului și accesul fizic printr-un dispozitiv FPGA dedicat în laborator pentru a fi posibil de executat”.
Potrivit OneKey, în timpul corespondenței cu Unciphered, a fost dezvăluit că și alte portofele au fost s-a dovedit a avea probleme similare.
„Am plătit și recompense Unciphered pentru a le mulțumi pentru contribuția lor la securitatea OneKey”, a spus OneKey.
În postarea pe blog, OneKey a spus că a făcut deja eforturi mari pentru a asigura securitatea utilizatorilor săi, inclusiv pentru a-i proteja de atacurile lanțului de aprovizionare — când un hacker înlocuiește un portofel autentic cu unul controlat de el.
Măsurile OneKey au inclus ambalaje inviolabile pentru livrări și utilizarea furnizorilor de servicii pentru lanțul de aprovizionare de la Apple pentru a asigura un management strict al securității lanțului de aprovizionare.
În viitor, ei speră să implementeze autentificarea la bord și să actualizeze portofelele hardware mai noi cu componente de securitate de nivel superior.
OneKey a remarcat că principalul scopul portofelelor hardware a fost întotdeauna pentru a proteja banii utilizatorilor de atacuri malware, viruși de computer și alte pericole la distanță, dar a recunoscut că, din păcate, nimic nu poate fi 100% sigur.
„Când ne uităm la întregul proces de fabricare a portofelului hardware, de la cristale de siliciu la codul cipului, de la firmware la software, este sigur să spunem că, cu destui bani, timp și resurse, orice barieră hardware poate fi depășită, chiar dacă este o armă nucleară. sistem de control."
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- acces
- afecta
- TOATE
- Permiterea
- deja
- mereu
- și
- oricine
- Apple
- ataca
- Atacuri
- Autentificare
- barieră
- de bază
- fiind
- între
- Blog
- Recompensă
- caz
- lanţ
- cip
- cod
- Codificare
- Cointelegraph
- Comunicații
- companie
- componente
- calculator
- conţinut
- contribuţii
- Control
- controlată
- ar putea
- crăpa
- critic
- cripto
- Securitate cibernetică
- pericole
- dedicat
- Livrări
- dispozitiv
- FĂCUT
- în timpul
- Mai devreme
- încorporat
- criptate
- suficient de
- destui bani
- asigura
- Întreg
- Chiar
- a executa
- a explicat
- Exploata
- fabrică
- imaginat
- Repara
- fixată
- plat
- defect
- fpga
- din
- mai mult
- viitor
- mare
- tocat
- hacker
- Piese metalice
- Portofel hardware
- Portmoneuri hardware
- Evidențiat
- speranţă
- hotel
- HTTPS
- identificat
- punerea în aplicare a
- in
- inclus
- Inclusiv
- IT
- A pastra
- chei
- de laborator
- Uite
- Principal
- malware
- administrare
- de fabricaţie
- masiv
- măsuri
- De mijloc
- mod
- bani
- monitoare
- în mod normal
- notat
- nuclear
- bord
- ONE
- O cheie
- deschide
- open-source
- comandă
- Altele
- propriu
- ambalaje
- plătit
- partener
- Parolă
- Plasture
- Expresii
- fizic
- Plato
- Informații despre date Platon
- PlatoData
- posibil
- Post
- potenţial
- practicile
- proces
- prelucrare
- proiect
- proteja
- protectoare
- furnizorul
- furnizori
- pune
- recent
- Recupera
- la distanta
- scoate
- Rapoarte
- Necesită
- Resurse
- răspuns
- reveni
- sigur
- Said
- spune
- Al doilea
- sigur
- securitate
- defect de securitate
- plasture de securitate
- serviciu
- prestatori de servicii
- Siliciu
- asemănător
- So
- Software
- Sursă
- lansare
- Declarație
- livra
- lanțului de aprovizionare
- sistem
- Lua
- echipă
- spune
- lor
- în acest an
- Prin
- timp
- la
- instrument
- actualizat
- upgrade-ul
- utilizare
- utilizatorii
- Video
- viruși
- Vulnerabilitățile
- vulnerabilitate
- Portofel
- Portofele
- Ce
- care
- în timp ce
- voi
- fără
- an
- Tu
- Ta
- youtube
- zephyrnet
