Обезбедувачот на крипто-хардверски паричник OneKey вели дека веќе се справил со ранливоста во неговиот фирмвер што дозволи еден од неговите хардверски паричници да биде хакиран за една секунда.
Видео на YouTube испратени на 10 февруари од стартапот за сајбер безбедност Unciphered покажаа дека смислиле начин да ја искористат „масивната критична ранливост“ што им овозможи да „отворат“ OneKey Mini.
Според Ерик Михауд, партнер во Unciphered, со расклопување на уредот и вметнување кодирање, било можно да се врати OneKey Mini во „фабрички режим“ и да се заобиколи безбедносниот пин, овозможувајќи му на потенцијалниот напаѓач да ја отстрани мнемоничката фраза што се користи за враќање на паричник.
„Го имате процесорот и безбедниот елемент. Безбедниот елемент е местото каде што ги чувате вашите крипто клучеви. Сега, нормално, комуникациите се шифрираат помеѓу процесорот, каде што се врши обработката, и безбедниот елемент“, објасни Мишо.
„Па, испадна дека не било конструирано да го стори тоа во овој случај. Значи, она што можете да направите е да ставите алатка во средината која ги следи комуникациите и ги пресретнува, а потоа ги инјектира нивните сопствени команди“, рече тој, додавајќи:
„Го направивме тоа каде потоа му кажува на безбедниот елемент дека е во фабрички режим и можеме да ги извадиме вашите мнемоници, што се вашите пари во крипто“.
Сепак, во изјавата на 10 февруари, OneKey рече дека веќе го направиле адресирани безбедносниот пропуст идентификуван од Unciphered, истакнувајќи дека неговиот хардверски тим ја ажурирал безбедносната закрпа „на почетокот на оваа година“ без „некого да биде засегнат“ и дека „Сите откриени пропусти се или се поправаат“.
Нашиот одговор на неодамнешните извештаи за безбедносни поправки https://t.co/Dp9nNp1D0U
— Паричник со отворен код OneKey (@OneKeyHQ) Февруари 10, 2023
„Тоа, рече, со фразите за лозинка и основните безбедносни практики, дури и физичките напади откриени од Unciphered нема да влијаат на корисниците на OneKey“.
Компанијата дополнително истакна дека иако ранливоста била загрижувачка, векторот на напад идентификуван од Unciphered не може да се користи од далечина и бара „расклопување на уредот и физички пристап преку наменски FPGA уред во лабораторијата за да може да се изврши“.
Според OneKey, за време на кореспонденцијата со Unciphered, беше откриено дека имало и други паричници откриле дека имаат слични проблеми.
„Исто така, плативме награди на Unciphered за да им се заблагодариме за нивниот придонес за безбедноста на OneKey“, рече OneKey.
Поврзани со: „Ме прогонува до ден-денес“ - Crypto проект хакиран за 4 милиони долари во лоби на хотел
Во својот блог пост, OneKey рече дека веќе се труди да ја обезбеди безбедноста на своите корисници, вклучително и да ги заштити од напади на синџирот на снабдување — кога хакер ќе замени оригинален паричник со еден контролиран од нив.
Мерките на OneKey вклучија амбалажа отпорна на манипулации за испораки и употреба на даватели на услуги на синџирот на снабдување од Apple за да се обезбеди строго управување со безбедноста на синџирот на снабдување.
Во иднина, тие се надеваат дека ќе имплементираат автентикација на одборот и ќе ги надградат поновите хардверски паричници со безбедносни компоненти на повисоко ниво.
OneKey напиша дека главната целта на хардверските паричници отсекогаш била да се заштитат парите на корисниците од напади на малициозен софтвер, компјутерски вируси и други далечни опасности, но за жал, ништо не може да биде 100% безбедно.
„Кога ќе го погледнеме целиот процес на производство на хардверски паричник, од силиконски кристали до код за чипови, од фирмвер до софтвер, слободно може да се каже дека со доволно пари, време и ресурси, секоја хардверска бариера може да биде пробиена, дури и ако се работи за нуклеарно оружје. контролен систем."
Извор: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second