Krypto-hårdvaruplånboken OneKey säger att den redan har åtgärdat en sårbarhet i sin firmware som gjorde att en av dess hårdvaruplånböcker kunde hackas på en sekund.
Den 10 februari, en video på YouTube posted av startup för cybersäkerhet Unciphered visade att de hade hittat ut ett sätt att utnyttja en "massiv kritisk sårbarhet" för att "spricka upp" en OneKey Mini.
Enligt Eric Michaud, en partner på Unciphered, genom att demontera enheten och infoga kodning, var det möjligt att återställa OneKey Mini till "fabriksläge" och kringgå säkerhetsnålen, vilket gjorde det möjligt för en potentiell angripare att ta bort den mnemoniska frasen som användes för att återställa en plånbok.
[Inbäddat innehåll]
"Du har processorn och det säkra elementet. Det säkra elementet är där du förvarar dina kryptonycklar. Nu, normalt, är kommunikationen krypterad mellan CPU:n, där bearbetningen görs, och det säkra elementet,” förklarade Michaud.
"Det visar sig att det inte var konstruerat för att göra det i det här fallet. Så vad du kan göra är att sätta ett verktyg i mitten som övervakar kommunikationen och avlyssnar dem och sedan injicerar deras egna kommandon”, sa han och tillade:
"Vi gjorde det där det sedan berättar för det säkra elementet att det är i fabriksläge och vi kan ta ut dina minnesminnen, vilket är dina pengar i krypto."
Men i ett uttalande den 10 februari sa OneKey att det redan hade gjort det adresserad säkerhetsbristen som identifierats av Unciphered, och noterade att dess hårdvaruteam hade uppdaterat säkerhetskorrigeringen "tidigare i år" utan att "någon påverkas" och att "Alla avslöjade sårbarheter har fixats eller håller på att fixas."
Vårt svar på de senaste säkerhetskorrigeringsrapporterna https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) Februari 10, 2023
"Som sagt, med lösenordsfraser och grundläggande säkerhetspraxis kommer inte ens fysiska attacker som avslöjas av Unciphered att påverka OneKey-användare."
Företaget betonade vidare att även om sårbarheten gällde, kan attackvektorn som identifierats av Unciphered inte användas på distans och kräver "demontering av enheten och fysisk åtkomst genom en dedikerad FPGA-enhet i labbet för att vara möjlig att utföra."
Enligt OneKey, under korrespondens med Unciphered, avslöjades det att andra plånböcker har varit funnits ha liknande problem.
"Vi betalade också Unciphered-pengar för att tacka dem för deras bidrag till OneKeys säkerhet," sa OneKey.
Relaterat: "Försöker mig till denna dag" - Kryptoprojekt hackat för 4 miljoner dollar i en hotellobby
I sitt blogginlägg har OneKey sagt att det redan har gjort stora ansträngningar för att säkerställa säkerheten för sina användare, inklusive att skydda dem från attacker i leveranskedjan — när en hacker ersätter en äkta plånbok med en som kontrolleras av dem.
OneKeys åtgärder har inkluderat manipuleringssäker förpackning för leveranser och användning av leverantörer av supply chain-tjänster från Apple för att säkerställa en strikt hantering av leveranskedjans säkerhet.
I framtiden hoppas de kunna implementera inbyggd autentisering och uppgradera nyare hårdvaruplånböcker med säkerhetskomponenter på högre nivå.
OneKey noterade att den huvudsakliga syftet med hårdvaruplånböcker har alltid varit för att skydda användarnas pengar från skadliga attacker, datavirus och andra avlägsna faror, men erkände att tyvärr kan ingenting vara 100% säkert.
"När vi tittar på hela tillverkningsprocessen för hårdvaruplånbok, från kiselkristaller till chipkod, från firmware till mjukvara, är det säkert att säga att med tillräckligt med pengar, tid och resurser kan vilken hårdvarubarriär som helst brytas, även om det är ett kärnvapen kontrollsystem."
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- Platoblockchain. Web3 Metaverse Intelligence. Kunskap förstärkt. Tillgång här.
- Källa: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- tillgång
- påverka
- Alla
- tillåta
- redan
- alltid
- och
- någon
- Apple
- attackera
- Attacker
- Autentisering
- barriär
- grundläggande
- Där vi får lov att vara utan att konstant prestera,
- mellan
- Blogg
- skottpengarar
- Vid
- kedja
- chip
- koda
- Kodning
- Cointelegraph
- Trygghet i vårdförloppet
- företag
- komponenter
- dator
- innehåll
- bidrag
- kontroll
- kontrolleras
- kunde
- spricka
- kritisk
- crypto
- Cybersäkerhet
- faror
- dedicerad
- Leveranser
- anordning
- DID
- under
- Tidigare
- inbäddade
- krypterad
- tillräckligt
- tillräckligt med pengar
- säkerställa
- Hela
- Även
- exekvera
- förklarade
- Exploit
- fabrik
- figured
- Fast
- fixerad
- platta
- fel
- FPGA
- från
- ytterligare
- framtida
- stor
- hackad
- Hackaren
- hårdvara
- Hårdvaruplånbok
- Hårdvara plånböcker
- Markerad
- hoppas
- hotell
- HTTPS
- identifierade
- genomföra
- in
- ingår
- Inklusive
- IT
- Ha kvar
- nycklar
- lab
- se
- Huvudsida
- malware
- ledning
- Produktion
- massiv
- åtgärder
- Mitten
- Mode
- pengar
- monitorer
- normalt
- noterade
- nukleär
- Ombord
- ONE
- En nyckel
- öppet
- öppen källkod
- beställa
- Övriga
- egen
- förpackning
- betalas
- partnern
- Lösenord
- Lappa
- fraser
- fysisk
- plato
- Platon Data Intelligence
- PlatonData
- möjlig
- Inlägg
- potentiell
- praxis
- process
- bearbetning
- projektet
- skydda
- skydda
- leverantör
- leverantörer
- sätta
- senaste
- Recover
- avlägsen
- ta bort
- Rapport
- Kräver
- Resurser
- respons
- avkastning
- säker
- Nämnda
- säger
- Andra
- säkra
- säkerhet
- säkerhetsbrist
- säkerhets patch
- service
- tjänsteleverantörer
- Kisel
- liknande
- So
- Mjukvara
- Källa
- start
- .
- leverera
- leveranskedjan
- system
- Ta
- grupp
- berättar
- Smakämnen
- deras
- i år
- Genom
- tid
- till
- verktyg
- uppdaterad
- uppgradera
- användning
- användare
- Video
- virus
- sårbarheter
- sårbarhet
- plånbok
- Plånböcker
- Vad
- som
- medan
- kommer
- utan
- år
- Om er
- Din
- Youtube
- zephyrnet
