Постачальник криптоапаратних гаманців OneKey каже, що вже усунув вразливість у своїй мікропрограмі, яка дозволила зламати один із апаратних гаманців за одну секунду.
10 лютого відео на YouTube розміщені стартап із кібербезпеки Unciphered показав, що вони знайшли спосіб використовувати «масову критичну вразливість», щоб «зламати» OneKey Mini.
За словами Еріка Мішо, партнера Unciphered, розібравши пристрій і вставивши код, можна було повернути OneKey Mini до «заводського режиму» та обійти PIN-код безпеки, дозволяючи потенційному зловмиснику видалити мнемонічну фразу, яка використовується для відновлення гаманець.
[Вбудоване вміст]
«У вас є центральний процесор і елемент безпеки. Захищений елемент – це місце, де ви зберігаєте свої криптографічні ключі. Зараз, як правило, зв’язок між центральним процесором, де виконується обробка, і захищеним елементом зашифрований», – пояснив Мішо.
«Ну, виявляється, у цьому випадку це не було розроблено для цього. Тож що ви можете зробити, так це розмістити інструмент посередині, який відстежує комунікації та перехоплює їх, а потім вводить власні команди», — сказав він, додавши:
«Ми зробили це, коли він повідомляє захищеному елементу, що він у заводському режимі, і ми можемо видалити вашу мнемоніку, тобто ваші гроші в криптовалюті».
Однак у заяві від 10 лютого OneKey заявила, що це вже було адресований недолік безпеки, виявлений Unciphered, зазначивши, що його апаратна команда оновила патч безпеки «на початку цього року», «нікого не вплинувши», і що «всі розкриті вразливості були або виправлені».
Наша відповідь на останні звіти про виправлення безпеки https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) 10 Лютого, 2023
«Тим не менш, з використанням паролів і основних методів безпеки навіть фізичні атаки, виявлені Unciphered, не вплинуть на користувачів OneKey».
Крім того, компанія підкреслила, що хоча вразливість викликає занепокоєння, вектор атаки, ідентифікований Unciphered, не може бути використаний віддалено та вимагає «розбирання пристрою та фізичного доступу через спеціальний пристрій FPGA у лабораторії, щоб його можна було виконати».
За даними OneKey, під час листування з Unciphered було виявлено, що були інші гаманці виявили подібні проблеми.
«Ми також виплатили винагороду Unciphered, щоб подякувати їм за їхній внесок у безпеку OneKey», — сказали в OneKey.
За темою: «Переслідує мене досі» — криптопроект зламали на 4 мільйони доларів у холі готелю
У своїй публікації в блозі компанія OneKey заявила, що вже доклала великих зусиль, щоб забезпечити безпеку своїх користувачів, зокрема захистити їх від атаки ланцюга поставок — коли хакер замінює справжній гаманець на контрольований ним.
Заходи OneKey включають захищене від несанкціонованого втручання пакування для доставки та використання постачальників послуг ланцюга поставок від Apple для забезпечення суворого управління безпекою ланцюга постачання.
У майбутньому вони сподіваються запровадити вбудовану автентифікацію та оновити нові апаратні гаманці компонентами безпеки вищого рівня.
OneKey зазначив, що основний призначення апаратних гаманців завжди полягав у захисті грошей користувачів від атак зловмисного програмного забезпечення, комп’ютерних вірусів та інших віддалених небезпек, але визнав, що, на жаль, ніщо не може бути на 100% безпечним.
«Коли ми дивимося на весь процес виробництва апаратного гаманця, від кристалів кремнію до коду мікросхеми, від прошивки до програмного забезпечення, можна з упевненістю сказати, що за наявності достатньої кількості грошей, часу та ресурсів будь-який апаратний бар’єр можна подолати, навіть якщо це ядерна зброя. система контролю».
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
- джерело: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- доступ
- впливати
- ВСІ
- Дозволити
- вже
- завжди
- та
- будь
- Apple
- атака
- нападки
- Authentication
- бар'єр
- основний
- буття
- між
- Блог
- щедроти
- випадок
- ланцюг
- чіп
- код
- Кодування
- Монеттелеграф
- зв'язку
- компанія
- Компоненти
- комп'ютер
- зміст
- внески
- контроль
- контроль
- може
- тріщина
- критичний
- крипто
- Кібербезпека
- Небезпеки
- присвячених
- Поставки
- пристрій
- DID
- під час
- Раніше
- вбудований
- зашифрованих
- досить
- достатньо грошей
- забезпечувати
- Весь
- Навіть
- виконувати
- пояснені
- Експлуатувати
- завод
- розібрався
- виправляти
- фіксованою
- плоский
- недолік
- FPGA
- від
- далі
- майбутнє
- великий
- зламаний
- хакер
- апаратні засоби
- Апаратний гаманець
- Ключниці для обладнання
- Виділено
- надія
- готель
- HTTPS
- ідентифікований
- здійснювати
- in
- включені
- У тому числі
- IT
- тримати
- ключі
- lab
- подивитися
- головний
- шкідливих програм
- управління
- виробництво
- масивний
- заходи
- Середній
- режим
- гроші
- монітори
- нормально
- зазначив,
- ядерний
- Onboard
- ONE
- OneKey
- відкрити
- з відкритим вихідним кодом
- порядок
- Інше
- власний
- упаковка
- оплачувану
- партнер
- Пароль
- пластир
- фрази
- фізичний
- plato
- Інформація про дані Платона
- PlatoData
- це можливо
- пошта
- потенціал
- практики
- процес
- обробка
- проект
- захист
- захищає
- Постачальник
- провайдери
- put
- останній
- Відновлювати
- віддалений
- видаляти
- Звіти
- Вимагається
- ресурси
- відповідь
- повертати
- сейф
- Зазначений
- говорить
- другий
- безпечний
- безпеку
- недолік безпеки
- патч безпеки
- обслуговування
- постачальники послуг
- Кремній
- аналогічний
- So
- Софтвер
- Source
- введення в експлуатацію
- Заява
- поставка
- ланцюжка поставок
- система
- Приймати
- команда
- розповідає
- Команда
- їх
- У цьому році
- через
- час
- до
- інструмент
- оновлений
- модернізація
- використання
- користувачі
- Відео
- віруси
- Уразливості
- вразливість
- Wallet
- Гаманці
- Що
- який
- в той час як
- волі
- без
- рік
- Ти
- вашу
- YouTube
- зефірнет