Poskytovateľ krypto hardvérovej peňaženky OneKey tvrdí, že už riešil zraniteľnosť vo svojom firmvéri, ktorá umožňovala hacknutie jednej z jeho hardvérových peňaženiek v priebehu jednej sekundy.
Video na YouTube posted 10. februára startup Unciphered v oblasti kybernetickej bezpečnosti ukázal, že prišiel na spôsob, ako využiť „obrovskú kritickú zraniteľnosť“, ktorá im umožnila „rozbiť“ OneKey Mini.
Podľa Erica Michauda, partnera v Unciphered, rozobratím zariadenia a vložením kódovania bolo možné vrátiť OneKey Mini do „továrenského režimu“ a obísť bezpečnostný kolík, čo umožnilo potenciálnemu útočníkovi odstrániť mnemotechnickú frázu používanú na obnovenie peňaženku.
"Máte CPU a bezpečnostný prvok." Bezpečnostný prvok je miesto, kde máte uložené svoje krypto kľúče. Teraz je komunikácia za normálnych okolností šifrovaná medzi CPU, kde prebieha spracovanie, a zabezpečeným prvkom,“ vysvetlil Michaud.
"Ukazuje sa, že v tomto prípade to nebolo navrhnuté tak, aby to urobil." Takže čo by ste mohli urobiť, je umiestniť do stredu nástroj, ktorý monitoruje komunikáciu a zachytáva ju a potom vkladá svoje vlastné príkazy,“ povedal a dodal:
"Urobili sme to tak, že potom oznámi bezpečnostnému prvku, že je v továrenskom režime, a môžeme odstrániť vaše mnemotechnické pomôcky, čo sú vaše peniaze v krypto."
Vo vyhlásení z 10. februára však spoločnosť OneKey uviedla, že už áno riešiť bezpečnostnú chybu identifikovanú Unciphered, pričom poznamenal, že jeho hardvérový tím aktualizoval bezpečnostnú opravu „začiatkom tohto roka“ bez toho, aby „ktokoľvek bol ovplyvnený“ a že „všetky odhalené zraniteľnosti boli alebo sú opravené“.
Naša odpoveď na nedávne správy o oprave zabezpečenia https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) Februára 10, 2023
"To znamená, že s frázami hesiel a základnými bezpečnostnými postupmi ani fyzické útoky zverejnené Unciphered neovplyvnia používateľov OneKey."
Spoločnosť ďalej zdôraznila, že hoci bola zraniteľnosť znepokojujúca, vektor útoku identifikovaný Unciphered nemožno použiť na diaľku a vyžaduje „demontáž zariadenia a fyzický prístup cez vyhradené zariadenie FPGA v laboratóriu, aby bolo možné vykonať“.
Podľa OneKey sa počas korešpondencie s Unciphered zistilo, že iné peňaženky boli zistilo sa, že má podobné problémy.
„Vyplatili sme aj odmeny Unciphered, aby sme im poďakovali za ich príspevky k bezpečnosti OneKey,“ povedal OneKey.
Súvisiace: „Straší ma dodnes“ – krypto projekt hacknutý za 4 milióny dolárov v hotelovej hale
OneKey vo svojom blogovom príspevku uviedol, že už vynaložil veľké úsilie na zaistenie bezpečnosti svojich používateľov, vrátane ich ochrany pred útoky na dodávateľský reťazec — keď hacker nahradí pravú peňaženku peňaženkou, ktorú ovláda.
Opatrenia OneKey zahŕňali obaly odolné voči falšovaniu pre dodávky a využívanie poskytovateľov služieb dodávateľského reťazca od spoločnosti Apple na zabezpečenie prísneho riadenia bezpečnosti dodávateľského reťazca.
V budúcnosti dúfajú, že implementujú integrovanú autentifikáciu a inovujú novšie hardvérové peňaženky pomocou bezpečnostných komponentov vyššej úrovne.
OneKey napísal, že hlavné účel hardvérových peňaženiek bol vždy chrániť peniaze používateľov pred útokmi škodlivého softvéru, počítačovými vírusmi a inými vzdialenými nebezpečenstvami, ale bohužiaľ, nič nemôže byť 100% bezpečné.
„Keď sa pozrieme na celý proces výroby hardvérovej peňaženky, od kremíkových kryštálov po kód čipu, od firmvéru po softvér, môžeme s istotou povedať, že s dostatkom peňazí, času a zdrojov je možné prelomiť akúkoľvek hardvérovú bariéru, aj keď ide o jadrovú zbraň. riadiaci systém."
Zdroj: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second