A kriptográfiai hardvertárcát szolgáltató OneKey azt állítja, hogy már kijavította a firmware-jének egyik sérülékenységét, amely lehetővé tette, hogy az egyik hardvertárcáját egy másodperc alatt feltörjék.
Videó a YouTube-on kiküldött február 10-én az Unciphered kiberbiztonsági startup bemutatta, hogy kitalálták a módját egy „masszív kritikus sérülékenység” kihasználásának, amely lehetővé tette a OneKey Mini „feltörését”.
Eric Michaud, az Unciphered egyik partnere szerint az eszköz szétszerelésével és a kód beillesztésével vissza lehetett állítani a OneKey Minit „gyári üzemmódba”, és megkerülni a biztonsági tűt, így a potenciális támadó eltávolíthatja a visszaállításhoz használt emlékező kifejezést. pénztárca.
„Megvan a CPU és a biztonsági elem. A biztonságos elem az, ahol a titkosítási kulcsokat tárolja. Mostantól általában titkosítva történik a kommunikáció a CPU, ahol a feldolgozás történik, és a biztonságos elem között” – magyarázta Michaud.
– Nos, kiderült, hogy ebben az esetben nem erre tervezték. Tehát azt tehetné, hogy egy eszközt helyez a közepére, amely figyeli a kommunikációt és lehallgatja azokat, majd beadja a saját parancsait” – mondta, hozzátéve:
„Ezt úgy tettük, hogy azután azt mondja a biztonsági elemnek, hogy gyári módban van, és ki tudjuk venni a mnemonikáját, ami a pénze kriptopénzben.”
Egy február 10-i nyilatkozatában azonban a OneKey azt mondta, hogy már megtette címzett Az Unciphered által azonosított biztonsági hiba, megjegyezve, hogy hardvercsapata „az év elején” frissítette a biztonsági javítást anélkül, hogy „az érintettek bárkit is érintettek volna”, és hogy „minden feltárt sebezhetőséget kijavítottak vagy javítanak”.
Válaszunk a legutóbbi biztonsági javítási jelentésekre https://t.co/Dp9nNp1D0U
- OneKey nyílt forráskódú pénztárca (@OneKeyHQ) Február 10, 2023
"Egyébként a jelszókifejezések és az alapvető biztonsági gyakorlatok mellett még az Unciphered által nyilvánosságra hozott fizikai támadások sem érintik a OneKey felhasználókat."
A vállalat emellett kiemelte, hogy bár a sérülékenység aggályos, az Unciphered által azonosított támadási vektor nem használható távolról, és „az eszköz szétszerelése és a laboratóriumi dedikált FPGA-eszközön keresztüli fizikai hozzáférés szükséges ahhoz, hogy végrehajtható legyen”.
A OneKey szerint az Unciphereddel folytatott levelezés során kiderült, hogy más pénztárcák is kerültek forgalomba hasonló problémákat tapasztaltak.
"Az Unciphered jutalmakat is fizettük, hogy megköszönjük nekik a OneKey biztonságához való hozzájárulásukat" - mondta OneKey.
Kapcsolódó: „A mai napig kísért” – 4 millió dollárért feltörték a kriptoprojektet egy szálloda halljában
Blogbejegyzésében a OneKey elmondta, hogy már most is nagy erőfeszítéseket tett, hogy biztosítsa felhasználói biztonságát, többek között megvédje őket a ellátási lánc támadások – amikor egy hacker lecseréli a valódi pénztárcát egy általa irányítottra.
A OneKey intézkedései közé tartozik a hamisításmentes csomagolás a szállításokhoz, valamint az Apple ellátási lánc szolgáltatóinak igénybevétele az ellátási lánc szigorú biztonsági irányítása érdekében.
A jövőben azt remélik, hogy bevezetik a beépített hitelesítést, és frissítik az újabb hardveres pénztárcákat magasabb szintű biztonsági összetevőkkel.
A OneKey azt írta, hogy a fő hardveres pénztárcák célja mindig is az volt, hogy megvédje a felhasználók pénzét a rosszindulatú programok támadásaitól, a számítógépes vírusoktól és más távoli veszélyektől, de sajnos semmi sem lehet 100%-ban biztonságos.
„Ha a teljes hardvertárca gyártási folyamatot nézzük, a szilíciumkristályoktól a chipkódig, a firmware-től a szoftverig, nyugodtan kijelenthetjük, hogy elegendő pénzzel, idővel és erőforrással minden hardveres akadály áttörhető, még akkor is, ha az atomfegyver. vezérlő rendszer."
Forrás: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second