Poskytovatel krypto hardwarové peněženky OneKey říká, že již vyřešil zranitelnost ve svém firmwaru, která umožňovala hacknutí jedné z jeho hardwarových peněženek během jedné sekundy.
Video na YouTube posted 10. února startup Unciphered zabývající se kybernetickou bezpečností ukázal, že přišel na způsob, jak využít „Masivní kritickou zranitelnost“, která jim umožnila „rozlousknout“ OneKey Mini.
Podle Erica Michauda, partnera společnosti Unciphered, bylo možné po rozebrání zařízení a vložení kódování vrátit OneKey Mini do „továrního režimu“ a obejít bezpečnostní kód, což potenciálnímu útočníkovi umožnilo odstranit mnemotechnickou frázi použitou k obnovení peněženka.
"Máte CPU a bezpečnostní prvek." Bezpečnostní prvek je místo, kde uchováváte své kryptoklíče. Nyní je komunikace mezi CPU, kde se provádí zpracování, a zabezpečeným prvkem běžně šifrována,“ vysvětlil Michaud.
"No, ukázalo se, že v tomto případě to tak nebylo navrženo." Takže co byste mohli udělat, je umístit doprostřed nástroj, který monitoruje komunikaci a zachycuje ji a poté vkládá vlastní příkazy,“ řekl a dodal:
"Udělali jsme to tam, kde to bezpečnostnímu prvku sdělí, že je v továrním režimu, a my můžeme odstranit vaše mnemotechnické pomůcky, což jsou vaše peníze v krypto."
V prohlášení z 10. února však společnost OneKey uvedla, že již ano adresované bezpečnostní chybu identifikovanou Unciphered a poznamenal, že jeho hardwarový tým aktualizoval bezpečnostní opravu „dříve v tomto roce“, aniž by „byl někdo ovlivněn“ a že „všechny odhalené zranitelnosti byly nebo jsou opraveny“.
Naše reakce na nedávné zprávy o opravách zabezpečení https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) Února 10, 2023
"To znamená, že s heslem a základními bezpečnostními postupy ani fyzické útoky odhalené Unciphered neovlivní uživatele OneKey."
Společnost dále zdůraznila, že ačkoli byla zranitelnost znepokojivá, vektor útoku identifikovaný Unciphered nelze použít vzdáleně a vyžaduje „demontáž zařízení a fyzický přístup prostřednictvím vyhrazeného zařízení FPGA v laboratoři, aby bylo možné provést“.
Podle OneKey bylo během korespondence s Unciphered odhaleno, že jiné peněženky byly zjistili, že mají podobné problémy.
"Vyplatili jsme také odměny Unciphered, abychom jim poděkovali za jejich příspěvky k bezpečnosti OneKey," řekl OneKey.
Související: „Straší mě dodnes“ – krypto projekt hacknutý za 4 miliony dolarů v hotelové hale
OneKey ve svém příspěvku na blogu uvedl, že se již velmi snažil zajistit bezpečnost svých uživatelů, včetně jejich ochrany před útoky na dodavatelský řetězec — když hacker nahradí pravou peněženku peněženkou, kterou ovládá.
Opatření OneKey zahrnují obaly pro dodávky odolné proti neoprávněné manipulaci a využití poskytovatelů služeb dodavatelského řetězce od společnosti Apple k zajištění přísného řízení bezpečnosti dodavatelského řetězce.
V budoucnu doufají, že zavedou integrovanou autentizaci a upgradují novější hardwarové peněženky o bezpečnostní komponenty vyšší úrovně.
OneKey napsal, že hlavní účel hardwarových peněženek byl vždy chránit peníze uživatelů před útoky malwaru, počítačovými viry a dalšími vzdálenými nebezpečími, ale bohužel nic nemůže být 100% bezpečné.
„Když se podíváme na celý proces výroby hardwarové peněženky, od křemíkových krystalů po kód čipu, od firmwaru po software, můžeme s jistotou říci, že s dostatkem peněz, času a zdrojů lze prolomit jakoukoli hardwarovou bariéru, i když se jedná o jadernou zbraň. kontrolní systém."
Zdroj: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second