Поставщик аппаратных криптокошельков OneKey заявляет, что уже устранил уязвимость в своей прошивке, которая позволяла взломать один из аппаратных кошельков за одну секунду.
10 февраля видео на YouTube. размещены Стартап по кибербезопасности Unciphered показал, что они нашли способ использовать «массовую критическую уязвимость», чтобы «взломать» OneKey Mini.
По словам Эрика Мишо, партнера Unciphered, разобрав устройство и вставив кодировку, можно было вернуть OneKey Mini в «заводской режим» и обойти защитный штифт, что позволило потенциальному злоумышленнику удалить мнемоническую фразу, используемую для восстановления кошелек.
[Встраиваемое содержимое]
«У вас есть ЦП и элемент безопасности. Безопасный элемент — это место, где вы храните свои криптоключи. Теперь, как правило, обмен данными между ЦП, где выполняется обработка, и защищенным элементом шифруется», — пояснил Мишо.
«Ну, оказывается, в данном случае он не был спроектирован для этого. Итак, что вы могли бы сделать, так это поставить инструмент посередине, который отслеживает сообщения и перехватывает их, а затем вводит свои собственные команды», — сказал он, добавив:
«Мы сделали это, когда он затем сообщает защищенному элементу, что он находится в заводском режиме, и мы можем удалить вашу мнемонику, которая является вашими деньгами в криптовалюте».
Однако в заявлении OneKey от 10 февраля говорится, что он уже адресованный уязвимость безопасности, выявленную Unciphered, отметив, что ее команда по оборудованию обновила исправление безопасности «ранее в этом году», «никого не затронув», и что «все обнаруженные уязвимости были или исправляются».
Наш ответ на недавние отчеты об исправлениях безопасности https://t.co/Dp9nNp1D0U
— Кошелек OneKey с открытым исходным кодом (@OneKeyHQ) 10 февраля 2023
«Тем не менее, с фразами-паролями и базовыми методами безопасности даже физические атаки, раскрытые Unciphered, не повлияют на пользователей OneKey».
Компания также подчеркнула, что, хотя уязвимость вызывает беспокойство, вектор атаки, идентифицированный Unciphered, не может быть использован удаленно и требует «разборки устройства и физического доступа через выделенное устройство FPGA в лаборатории, чтобы его можно было выполнить».
По данным OneKey, в ходе переписки с Unciphered выяснилось, что другие кошельки были обнаружил похожие проблемы.
«Мы также выплатили вознаграждения Unciphered, чтобы поблагодарить их за их вклад в безопасность OneKey», — сказал OneKey.
Связанный: «Преследует меня по сей день» — криптопроект взломан на 4 миллиона долларов в холле отеля
В своем сообщении в блоге OneKey заявил, что уже приложил большие усилия, чтобы обеспечить безопасность своих пользователей, в том числе защитить их от атаки на цепочку поставок — когда хакер подменяет настоящий кошелек на подконтрольный ему.
Меры OneKey включают защиту от несанкционированного доступа к упаковке для поставок и использование поставщиков услуг цепочки поставок от Apple для обеспечения строгого управления безопасностью цепочки поставок.
В будущем они надеются внедрить встроенную аутентификацию и модернизировать новые аппаратные кошельки с помощью компонентов безопасности более высокого уровня.
OneKey отметил, что основной назначение аппаратных кошельков всегда была защита денег пользователей от атак вредоносных программ, компьютерных вирусов и других отдаленных опасностей, но признала, что, к сожалению, ничто не может быть на 100% безопасным.
«Когда мы смотрим на весь процесс производства аппаратного кошелька, от кристаллов кремния до кода чипа, от прошивки до программного обеспечения, можно с уверенностью сказать, что при наличии достаточного количества денег, времени и ресурсов любой аппаратный барьер может быть преодолен, даже если это ядерное оружие. система контроля."
- SEO-контент и PR-распределение. Получите усиление сегодня.
- Платоблокчейн. Интеллект метавселенной Web3. Расширение знаний. Доступ здесь.
- Источник: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- доступ
- влиять на
- Все
- Позволяющий
- уже
- всегда
- и
- кто угодно
- Apple
- атаковать
- нападки
- Аутентификация
- барьер
- основной
- не являетесь
- между
- Блог
- щедроты
- случаев
- цепь
- чип
- код
- Кодирование
- Cointelegraph
- Связь
- Компания
- компоненты
- компьютер
- содержание
- взносы
- контроль
- контроль
- может
- трещина
- критической
- крипто-
- Информационная безопасность
- Опасности
- преданный
- Поставки
- устройство
- DID
- в течение
- Ранее
- встроенный
- зашифрованный
- достаточно
- достаточно денег
- обеспечивать
- Весь
- Даже
- выполнять
- объяснены
- Эксплуатировать
- завод
- фигурный
- фиксированный
- фиксированной
- плоский
- недостаток
- FPGA
- от
- далее
- будущее
- большой
- взломанa
- хакер
- Аппаратные средства
- Аппаратный кошелек
- Аппаратные кошельки
- Выделенные
- надежды
- Гостиница
- HTTPS
- идентифицированный
- осуществлять
- in
- включены
- В том числе
- IT
- Сохранить
- ключи
- лаборатория
- посмотреть
- Главная
- вредоносных программ
- управление
- производство
- массивный
- меры
- средняя
- режим
- деньги
- Мониторы
- нормально
- отметил,
- ядерный
- Onboard
- ONE
- Один ключ
- открытый
- с открытым исходным кодом
- заказ
- Другое
- собственный
- коробок
- выплачен
- партнер
- Пароль
- Патчи
- фразы
- физический
- Платон
- Платон Интеллектуальные данные
- ПлатонДанные
- возможное
- После
- потенциал
- практиками
- процесс
- обработка
- Проект
- для защиты
- защищающий
- Недвижимости
- поставщики
- положил
- последний
- Recover
- удаленные
- удаление
- Отчеты
- требуется
- Полезные ресурсы
- ответ
- возвращают
- безопасный
- Сказал
- говорит
- Во-вторых
- безопасный
- безопасность
- недостаток безопасности
- патч безопасности
- обслуживание
- поставщики услуг
- кремний
- аналогичный
- So
- Software
- Источник
- ввод в эксплуатацию
- заявление
- поставка
- цепочками поставок
- система
- взять
- команда
- говорит
- Ассоциация
- их
- В этом году
- Через
- время
- в
- инструментом
- обновление
- модернизация
- использование
- пользователей
- Видео
- вирусы
- Уязвимости
- уязвимость
- Кошелек
- Кошельки
- Что
- который
- в то время как
- будете
- без
- год
- Ты
- ВАШЕ
- YouTube
- зефирнет