Sinasabi ng provider ng Crypto hardware wallet na OneKey na natugunan na nito ang isang kahinaan sa firmware nito na nagpapahintulot sa isa sa mga wallet ng hardware nito na ma-hack sa isang segundong flat.
Isang video sa YouTube nai-post noong Peb. 10 ng cybersecurity startup na si Unciphered ay nagpakita na nakaisip sila ng isang paraan upang pagsamantalahan ang isang "Napakalaking kritikal na kahinaan" na nagpapahintulot sa kanila na "i-crack open" ang isang OneKey Mini.
Ayon kay Eric Michaud, isang partner sa Unciphered, sa pamamagitan ng pag-disassemble ng device at paglalagay ng coding, posibleng ibalik ang OneKey Mini sa "factory mode" at i-bypass ang security pin, na nagpapahintulot sa isang potensyal na attacker na alisin ang mnemonic phrase na ginamit upang mabawi ang isang wallet.
"Mayroon kang CPU at ang secure na elemento. Ang secure na elemento ay kung saan mo itinatago ang iyong mga crypto key. Ngayon, karaniwan, ang mga komunikasyon ay naka-encrypt sa pagitan ng CPU, kung saan ang pagproseso ay tapos na, at ang secure na elemento, "paliwanag ni Michaud.
"Buweno, lumalabas na hindi ito inhinyero para gawin ito sa kasong ito. Kaya kung ano ang maaari mong gawin ay maglagay ng isang tool sa gitna na sinusubaybayan ang mga komunikasyon at humarang sa kanila at pagkatapos ay nag-inject ng kanilang sariling mga utos, "sabi niya, idinagdag:
“Ginawa namin iyon kung saan sinabi nito ang secure na elemento na nasa factory mode ito at maaari naming ilabas ang iyong mnemonics, na iyong pera sa crypto."
Gayunpaman, sa isang pahayag noong Pebrero 10, sinabi ng OneKey na mayroon na ito hinarap ang security flaw na natukoy ng Unciphered, na binabanggit na ang hardware team nito ay na-update ang security patch "mas maaga sa taong ito" nang walang "kahit sino ang apektado" at na "Lahat ng nahayag na kahinaan ay naayos na o inaayos na."
Ang Aming Tugon sa Mga Kamakailang Ulat sa Pag-aayos ng Seguridad https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) Pebrero 10, 2023
"Iyon ay sinabi, sa mga parirala ng password at mga pangunahing kasanayan sa seguridad, kahit na ang mga pisikal na pag-atake na isiniwalat ng Unciphered ay hindi makakaapekto sa mga user ng OneKey."
Binigyang-diin pa ng kumpanya na bagama't may kinalaman ang kahinaan, ang attack vector na kinilala ng Unciphered ay hindi maaaring gamitin nang malayuan at nangangailangan ng "pag-disassembly ng device at pisikal na pag-access sa pamamagitan ng nakalaang FPGA device sa lab para maging posible na maisagawa."
Ayon sa OneKey, sa panahon ng pakikipag-ugnayan sa Unciphered, isiniwalat na ang iba pang mga wallet ay naging natuklasang may mga katulad na isyu.
“Nagbayad din kami ng mga Unciphered na bounty para pasalamatan sila para sa kanilang mga kontribusyon sa seguridad ng OneKey,” sabi ni OneKey.
Nauugnay: 'Haunts me to this day' — Crypto project na na-hack ng $4M sa lobby ng hotel
Sa post sa blog nito, sinabi ng OneKey na nahirapan na itong matiyak ang seguridad ng mga gumagamit nito, kabilang ang pagprotekta sa kanila mula sa pag-atake ng supply chain — kapag pinalitan ng isang hacker ang isang tunay na wallet ng isa na kinokontrol nila.
Kasama sa mga hakbang ng OneKey ang tamper-proof na packaging para sa mga paghahatid at ang paggamit ng mga supply chain service provider mula sa Apple upang matiyak ang mahigpit na pamamahala sa seguridad ng supply chain.
Sa hinaharap, umaasa silang maipapatupad ang onboard authentication at mag-upgrade ng mas bagong mga wallet ng hardware na may mas mataas na antas ng mga bahagi ng seguridad.
Isinulat ng OneKey na ang pangunahing layunin ng hardware wallet ay palaging upang protektahan ang pera ng mga user mula sa mga pag-atake ng malware, mga virus sa computer at iba pang malalayong panganib, ngunit sa kasamaang-palad, walang 100% na ligtas.
“Kapag tinitingnan natin ang buong proseso ng pagmamanupaktura ng hardware wallet, mula sa mga silicon na kristal hanggang sa chip code, mula sa firmware hanggang sa software, ligtas na sabihin na sa sapat na pera, oras at mapagkukunan, anumang hadlang sa hardware ay maaaring masira, kahit na ito ay isang nuclear weapon. sistema ng kontrol."
Pinagmulan: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second