OneKey, společnost poskytující kryptografické hardwarové peněženky, uvedla, že již opravila chybu ve svém firmwaru, která umožnila kompromitaci jedné z jejích hardwarových peněženek za méně než jednu sekundu.
Unciphered, firma v oblasti kybernetické bezpečnosti, ve videu, které bylo nahráno na YouTube 10. února, uvedla, že objevila způsob, jak „rozbít“ OneKey Mini tím, že využije „velkou velkou chybu“ a využije ji.
Podle Erica Michauda, partnera společnosti Unciphered, bylo možné vrátit OneKey Mini do „továrního režimu“ a obejít bezpečnostní kolík rozebráním zařízení a vložením kódování. To by umožnilo potenciálnímu útočníkovi odstranit mnemotechnickou frázi, která se používá k obnovení peněženky. To bylo možné díky návratu zařízení do „továrního režimu“.
„Máte centrální procesorovou jednotku i bezpečnostní prvek. Vaše kryptografické klíče budou vždy uloženy v zabezpečeném prvku. Michaud poznamenal, že v typické situaci jsou spojení mezi centrální procesorovou jednotkou (CPU), kde probíhá zpracování, a zabezpečeným prvkem šifrována.
"No, jak se ukázalo, v tomto konkrétním případě to k tomu nebylo stavěno." „Mohli byste doprostřed dát nástroj, který by monitoroval komunikaci, zachycoval ji a pak vkládal vlastní příkazy,“ řekl a dodal: „Jak bylo řečeno, s hesly a základními bezpečnostními postupy, dokonce i fyzickými útoky odhalenými Unciphered neovlivní uživatele OneKey.“
Společnost dále zdůraznila, že navzdory skutečnosti, že zranitelnost byla znepokojivá, vektor útoku, který byl objeven Unciphered, nelze použít vzdáleně. Místo toho vyžaduje „demontáž zařízení a fyzický přístup prostřednictvím vyhrazeného zařízení FPGA v laboratoři“, aby bylo možné provést.
Podle OneKey bylo po diskuzi s Unciphered prozrazeno, že bylo zjištěno, že jiné peněženky mají podobné potíže. To bylo zveřejněno, když se zjistilo, že ostatní peněženky měly stejný problém.
OneKey uvedl, že kompenzovali Unciphered odměnami jako způsob, jak vyjádřit vděčnost za jejich příspěvky k bezpečnosti společnosti.
OneKey v příspěvku na blogu uvedl, že již přijal významná opatření k zajištění bezpečnosti svých zákazníků. Tato opatření zahrnují ochranu zákazníků před útoky na dodavatelský řetězec, ke kterým dochází, když hacker nahradí skutečnou peněženku peněženkou, kterou má pod kontrolou.
Balení zásilek odolné proti neoprávněné manipulaci bylo jedním z kroků společnosti OneKey spolu s využitím vlastních poskytovatelů služeb dodavatelského řetězce společnosti Apple za účelem zajištění přísného řízení bezpečnosti dodavatelského řetězce.
Mají aspirace na přidání integrované autentizace v nepříliš vzdálené budoucnosti a na aktualizaci novějších hardwarových peněženek o bezpečnostní komponenty vyšší úrovně.
Podle toho, co řekl OneKey, bylo primárním cílem hardwarových peněženek vždy chránit finanční aktiva uživatelů před kybernetickými útoky, počítačovými viry a dalšími potenciálními hrozbami; nicméně, bohužel, nic nemůže být zcela bezpečné.
„Když se podíváme na celý výrobní proces hardwarových peněženek, od křemíkových krystalů po kód čipu, od firmwaru po softwarelze s jistotou říci, že jakoukoli hardwarovou bariéru lze prolomit s dostatkem peněz, času a zdrojů; i když je to systém kontroly jaderných zbraní.“ „Když se podíváme na celý výrobní proces hardwarových peněženek, od křemíkových krystalů po kód čipu, od firmwaru po software,“
Zdroj: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked