OneKey cho biết đã sửa lỗi khiến ví phần cứng bị hack trong 1 giây

Nhà cung cấp ví phần cứng tiền điện tử OneKey cho biết họ đã giải quyết một lỗ hổng trong phần sụn khiến một trong các ví phần cứng của họ bị hack chỉ trong một giây.

Vào ngày 10 tháng XNUMX, một video trên YouTube đăng bởi công ty khởi nghiệp an ninh mạng Unciphered cho thấy họ đã tìm ra cách khai thác “lỗ hổng nghiêm trọng lớn” để “bẻ khóa” OneKey Mini.

Theo Eric Michaud, một đối tác tại Unciphered, bằng cách tháo rời thiết bị và chèn mã hóa, có thể đưa OneKey Mini về “chế độ xuất xưởng” và bỏ qua chốt bảo mật, cho phép kẻ tấn công tiềm năng loại bỏ cụm từ ghi nhớ được sử dụng để khôi phục một cái ví. 

[Nhúng nội dung]

“Bạn có CPU và phần tử bảo mật. Phần tử bảo mật là nơi bạn giữ các khóa mật mã của mình. Hiện tại, thông thường, thông tin liên lạc được mã hóa giữa CPU, nơi quá trình xử lý được thực hiện và phần tử bảo mật”, Michaud giải thích.

“Ồ, hóa ra nó không được thiết kế để làm như vậy trong trường hợp này. Vì vậy, những gì bạn có thể làm là đặt một công cụ ở giữa để giám sát các thông tin liên lạc và chặn chúng, sau đó đưa ra các lệnh của riêng chúng,” ông nói và nói thêm:

“Chúng tôi đã làm điều đó khi nó thông báo cho phần tử bảo mật rằng nó đang ở chế độ xuất xưởng và chúng tôi có thể loại bỏ khả năng ghi nhớ của bạn, tức là tiền của bạn bằng tiền điện tử.”

Tuy nhiên, trong một tuyên bố ngày 10 tháng XNUMX, OneKey cho biết họ đã giải quyết lỗ hổng bảo mật được xác định bởi Unciphered, lưu ý rằng nhóm phần cứng của họ đã cập nhật bản vá bảo mật “đầu năm nay” mà không “bất kỳ ai bị ảnh hưởng” và rằng “Tất cả các lỗ hổng được tiết lộ đã hoặc đang được sửa”.

Phản hồi của chúng tôi đối với các báo cáo sửa lỗi bảo mật gần đây https://t.co/Dp9nNp1D0U

— Ví mã nguồn mở OneKey (@OneKeyHQ) 10 Tháng hai, 2023

“Điều đó có nghĩa là, với các cụm từ mật khẩu và các biện pháp bảo mật cơ bản, ngay cả các cuộc tấn công vật lý do Unciphered tiết lộ cũng sẽ không ảnh hưởng đến người dùng OneKey.” 

Công ty nhấn mạnh thêm rằng mặc dù lỗ hổng này còn đáng lo ngại nhưng vectơ tấn công do Unciphered xác định không thể được sử dụng từ xa và yêu cầu “tháo gỡ thiết bị và truy cập vật lý thông qua thiết bị FPGA chuyên dụng trong phòng thí nghiệm để có thể thực thi”.

Theo OneKey, trong quá trình trao đổi thư từ với Unciphered, người ta đã tiết lộ rằng các ví khác đã bị phát hiện có vấn đề tương tự.

“Chúng tôi cũng trả tiền thưởng cho Unciphered để cảm ơn họ vì những đóng góp của họ cho sự bảo mật của OneKey,” OneKey cho biết.

Liên quan: 'Ám ảnh tôi cho đến tận bây giờ' — Dự án tiền điện tử bị hack với giá 4 triệu đô la trong sảnh khách sạn

Trong bài đăng trên blog của mình, OneKey cho biết họ đã nỗ lực hết sức để đảm bảo an ninh cho người dùng, bao gồm cả việc bảo vệ họ khỏi các cuộc tấn công chuỗi cung ứng — khi tin tặc thay thế ví chính hãng bằng ví do chúng kiểm soát. 

Các biện pháp của OneKey bao gồm đóng gói chống giả mạo khi giao hàng và sử dụng các nhà cung cấp dịch vụ chuỗi cung ứng từ Apple để đảm bảo quản lý an ninh chuỗi cung ứng nghiêm ngặt.

Trong tương lai, họ hy vọng sẽ triển khai xác thực tích hợp và nâng cấp các ví phần cứng mới hơn với các thành phần bảo mật cấp cao hơn.

OneKey lưu ý rằng chính mục đích của ví phần cứng luôn hướng tới bảo vệ tiền của người dùng khỏi các cuộc tấn công của phần mềm độc hại, vi-rút máy tính và các mối nguy hiểm từ xa khác, nhưng cũng thừa nhận rằng thật không may, không có gì có thể an toàn 100%. 

“Khi chúng tôi xem xét toàn bộ quy trình sản xuất ví phần cứng, từ tinh thể silicon đến mã chip, từ phần sụn đến phần mềm, có thể nói rằng với đủ tiền, thời gian và nguồn lực, bất kỳ rào cản phần cứng nào cũng có thể bị phá vỡ, ngay cả khi đó là vũ khí hạt nhân. hệ thống điều khiển."

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. Truy cập Tại đây.
• nguồn: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second