加密硬件钱包提供商 OneKey 表示,它已经解决了其固件中的一个漏洞,该漏洞允许其一个硬件钱包在一秒钟内被黑客入侵。
10月XNUMX日,YouTube上的一段视频 发布 网络安全初创公司 Unciphered 表示,他们已经找到了一种利用“大规模关键漏洞”来“破解”OneKey Mini 的方法。
根据 Unciphered 的合作伙伴 Eric Michaud 的说法,通过拆解设备并插入编码,可以将 OneKey Mini 恢复为“出厂模式”并绕过安全密码,从而允许潜在的攻击者删除用于恢复密码的助记词。钱包。
[嵌入的内容]
“你有 CPU 和安全元件。 安全元素是您保存加密密钥的地方。 现在,通常情况下,完成处理的 CPU 和安全元件之间的通信是加密的,”Michaud 解释道。
“嗯,事实证明,在这种情况下,它并不是为了这样做而设计的。 所以你可以做的是在中间放置一个工具来监控通信并拦截它们,然后注入它们自己的命令,”他说,并补充说:
“我们这样做了,然后它告诉安全元件它处于工厂模式,我们可以取出你的助记符,这是你的加密货币。”
然而,在 10 月 XNUMX 日的一份声明中,OneKey 表示已经 解决 Unciphered 发现了安全漏洞,并指出其硬件团队“今年早些时候”更新了安全补丁,没有“任何人受到影响”,并且“所有披露的漏洞已经或正在修复。”
我们对最近的安全修复报告的回应 https://t.co/Dp9nNp1D0U
— OneKey 开源钱包 (@OneKeyHQ) 2023 年 2 月 10 日
“也就是说,有了密码短语和基本的安全措施,即使是 Unciphered 披露的物理攻击也不会影响 OneKey 用户。”
该公司进一步强调,虽然该漏洞令人担忧,但 Unciphered 识别的攻击向量无法远程使用,需要“通过实验室中的专用 FPGA 设备拆卸设备和物理访问才能执行。”
据 OneKey 称,在与 Unciphered 的通信中,据透露其他钱包已被 发现有类似问题.
“我们还支付了 Unciphered 奖金,以感谢他们对 OneKey 安全性的贡献,”OneKey 说。
相关新闻: “直到今天都困扰着我”——加密项目在酒店大堂遭到黑客攻击,价值 4 万美元
OneKey 在其博客文章中表示,它已经竭尽全力确保其用户的安全,包括保护他们免受 供应链攻击 - 当黑客用他们控制的钱包替换真正的钱包时。
OneKey 的措施包括交付时采用防篡改包装,并使用 Apple 的供应链服务提供商来确保严格的供应链安全管理。
未来,他们希望实现板载身份验证,并使用更高级别的安全组件升级更新的硬件钱包。
万吉指出,主要 硬件钱包的目的 一直致力于保护用户的资金免受恶意软件攻击、计算机病毒和其他远程危险的侵害,但不幸的是,没有什么是 100% 安全的。
“当我们审视整个硬件钱包制造过程时,从硅晶体到芯片代码,从固件到软件,可以肯定地说,只要有足够的资金、时间和资源,任何硬件壁垒都可以被突破,即使它是核武器控制系统。”
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second
- 1
- 10
- 7
- a
- ACCESS
- 影响
- 所有类型
- 允许
- 已经
- 时刻
- 和
- 任何人
- Apple
- 攻击
- 攻击
- 认证
- 屏障
- 基本包
- 作为
- 之间
- 博客
- 悬赏
- 案件
- 链
- 芯片
- 码
- 编码
- Cointelegraph
- 通信
- 公司
- 组件
- 一台
- 内容
- 捐款
- 控制
- 受控
- 可以
- 裂纹
- 危急
- 加密
- 网络安全
- 危险
- 专用
- 交付
- 设备
- DID
- ,我们将参加
- 此前
- 嵌入式
- 加密
- 更多
- 足够的钱
- 确保
- 整个
- 甚至
- 执行
- 解释
- 利用
- 工厂
- 想通
- 固定
- 固定
- 平面
- 缺陷
- FPGA
- 止
- 进一步
- 未来
- 大
- 至少从2010年开始,
- 黑客
- 硬件
- 硬件钱包
- 五金钱包
- 突出
- 抱有希望
- 饭店
- HTTPS
- 确定
- 实施
- in
- 包括
- 包含
- IT
- 保持
- 键
- 实验室
- 看
- 主要
- 恶意软件
- 颠覆性技术
- 制造业
- 大规模
- 措施
- 中间
- 时尚
- 钱
- 显示器
- 通常
- 注意到
- 核
- 板载
- 一
- 一把钥匙
- 打开
- 开放源码
- 秩序
- 其他名称
- 己
- 包装
- 支付
- 合伙人
- 密码
- 打补丁
- 短语
- 的
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 可能
- 帖子
- 潜力
- 做法
- 过程
- 处理
- 项目
- 保护
- 保护
- 提供者
- 供应商
- 放
- 最近
- 恢复
- 远程
- 去掉
- 业务报告
- 需要
- 资源
- 响应
- 回报
- 安全
- 说
- 说
- 其次
- 安全
- 保安
- 安全漏洞
- 安全补丁
- 服务
- 服务供应商
- 硅
- 类似
- So
- 软件
- 来源
- 启动
- 个人陈述
- 供应
- 供应链
- 系统
- 采取
- 团队
- 告诉
- 其
- 今年
- 通过
- 次
- 至
- 工具
- 更新
- 升级
- 使用
- 用户
- 视频
- 病毒
- 漏洞
- 漏洞
- 钱包
- 钱包
- 什么是
- 这
- 而
- 将
- 也完全不需要
- 年
- 完全
- 您一站式解决方案
- YouTube的
- 和风网