OneKey каже, що виправлено недолік, через який його апаратний гаманець зламали за 1 секунду

Постачальник криптоапаратних гаманців OneKey каже, що вже усунув вразливість у своїй мікропрограмі, яка дозволила зламати один із апаратних гаманців за одну секунду.

10 лютого відео на YouTube розміщені стартап із кібербезпеки Unciphered показав, що вони знайшли спосіб використовувати «масову критичну вразливість», щоб «зламати» OneKey Mini.

За словами Еріка Мішо, партнера Unciphered, розібравши пристрій і вставивши код, можна було повернути OneKey Mini до «заводського режиму» та обійти PIN-код безпеки, дозволяючи потенційному зловмиснику видалити мнемонічну фразу, яка використовується для відновлення гаманець. 

[Вбудоване вміст]

«У вас є центральний процесор і елемент безпеки. Захищений елемент – це місце, де ви зберігаєте свої криптографічні ключі. Зараз, як правило, зв’язок між центральним процесором, де виконується обробка, і захищеним елементом зашифрований», – пояснив Мішо.

«Ну, виявляється, у цьому випадку це не було розроблено для цього. Тож що ви можете зробити, так це розмістити інструмент посередині, який відстежує комунікації та перехоплює їх, а потім вводить власні команди», — сказав він, додавши:

«Ми зробили це, коли він повідомляє захищеному елементу, що він у заводському режимі, і ми можемо видалити вашу мнемоніку, тобто ваші гроші в криптовалюті».

Однак у заяві від 10 лютого OneKey заявила, що це вже було адресований недолік безпеки, виявлений Unciphered, зазначивши, що його апаратна команда оновила патч безпеки «на початку цього року», «нікого не вплинувши», і що «всі розкриті вразливості були або виправлені».

Наша відповідь на останні звіти про виправлення безпеки https://t.co/Dp9nNp1D0U

— OneKey Open Source Wallet (@OneKeyHQ) 10 Лютого, 2023

«Тим не менш, з використанням паролів і основних методів безпеки навіть фізичні атаки, виявлені Unciphered, не вплинуть на користувачів OneKey». 

Крім того, компанія підкреслила, що хоча вразливість викликає занепокоєння, вектор атаки, ідентифікований Unciphered, не може бути використаний віддалено та вимагає «розбирання пристрою та фізичного доступу через спеціальний пристрій FPGA у лабораторії, щоб його можна було виконати».

За даними OneKey, під час листування з Unciphered було виявлено, що були інші гаманці виявили подібні проблеми.

«Ми також виплатили винагороду Unciphered, щоб подякувати їм за їхній внесок у безпеку OneKey», — сказали в OneKey.

За темою: «Переслідує мене досі» — криптопроект зламали на 4 мільйони доларів у холі готелю

У своїй публікації в блозі компанія OneKey заявила, що вже доклала великих зусиль, щоб забезпечити безпеку своїх користувачів, зокрема захистити їх від атаки ланцюга поставок — коли хакер замінює справжній гаманець на контрольований ним. 

Заходи OneKey включають захищене від несанкціонованого втручання пакування для доставки та використання постачальників послуг ланцюга поставок від Apple для забезпечення суворого управління безпекою ланцюга постачання.

У майбутньому вони сподіваються запровадити вбудовану автентифікацію та оновити нові апаратні гаманці компонентами безпеки вищого рівня.

OneKey зазначив, що основний призначення апаратних гаманців завжди полягав у захисті грошей користувачів від атак зловмисного програмного забезпечення, комп’ютерних вірусів та інших віддалених небезпек, але визнав, що, на жаль, ніщо не може бути на 100% безпечним. 

«Коли ми дивимося на весь процес виробництва апаратного гаманця, від кристалів кремнію до коду мікросхеми, від прошивки до програмного забезпечення, можна з упевненістю сказати, що за наявності достатньої кількості грошей, часу та ресурсів будь-який апаратний бар’єр можна подолати, навіть якщо це ядерна зброя. система контролю».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second