OneKey, Anbieter von Krypto-Hardwaretaschen, sagt, dass er bereits eine Schwachstelle in seiner Firmware geschlossen hat, die es ermöglichte, eine seiner Hardware-Geldbörsen in einer Sekunde zu hacken.
Am XNUMX. Februar ein Video auf YouTube Gesendet vom Cybersicherheits-Startup Unciphered enthüllten, dass sie eine Technik entdeckt haben, um eine „große wichtige Schwachstelle“ auszunutzen, um einen OneKey Mini „aufzubrechen“.
Laut Eric Michaud, einem Komplizen bei Unciphered, war es möglich, den OneKey Mini durch Zerlegen der Maschine und Einfügen von Codierungen in den „Produktionseinheitsmodus“ zurückzusetzen und die Sicherheits-PIN zu umgehen, wodurch ein möglicher Angreifer die verwendete mnemonische Phrase entwenden konnte zur Restaurierung einer gebrauchten Geldbörse.
„Sie haben die CPU und den Sicherheitsaspekt. Der sichere Aspekt ist der Ort, an dem Sie Ihre Kryptoschlüssel aufbewahren. Normalerweise ist die Kommunikation zwischen der CPU, dem Ort, an dem die Verarbeitung abgeschlossen ist, und dem sicheren Aspekt verschlüsselt“, erklärte Michaud.
„Eigentlich scheint es in diesem Fall nicht dafür ausgelegt zu sein. Sie könnten also ein Instrument in das Zentrum stellen, das die Kommunikation anzeigt und abfängt und dann ihre eigenen Anweisungen einfügt“, sagte er, einschließlich:
„Wir haben das getan, wo es dann dem sicheren Aspekt mitteilt, dass es sich im Produktionseinheitsmodus befindet, und wir können Ihre Mnemonik herausnehmen, die Ihr Kryptogeld ist.“
Dennoch erklärte OneKey in einer Ankündigung vom 10. Februar, dass dies bereits der Fall sei angesprochen die von Unciphered erkannte Schwachstelle, wobei festgestellt wurde, dass seine {Hardware}-Mitarbeiter den Sicherheitspatch "früher in diesen 12 Monaten" aktualisiert hatten, ohne "jemanden zu beeinträchtigen", und dass "alle offengelegten Schwachstellen behoben wurden oder behoben werden sollen".
Unsere Antwort auf die neuesten Sicherheitsreparaturbewertungen https://t.co/Dp9nNp1D0U
— Open-Source-Taschen von OneKey (@OneKeyHQ) 10. Februar 2023
„Mit Passwortphrasen und primären Sicherheitspraktiken werden OneKey-Kunden selbst von Unciphered aufgedeckte Körperverletzungen nichts anhaben.“
Das Unternehmen betonte außerdem, dass die Sicherheitslücke zwar besorgniserregend sei, der von Unciphered erkannte Angriffsvektor jedoch nicht aus der Ferne verwendet werden könne und „zum Ausführen die Demontage des Computers und den körperlichen Zugang über einen dedizierten FPGA-Computer im Labor erfordert. " “.
Laut OneKey stellte sich während der gesamten Korrespondenz mit Unciphered heraus, dass verschiedene Brieftaschen ähnliche Probleme hatten.
„Wir haben Unciphered zusätzlich Boni gezahlt, um ihnen für ihre Beiträge zur Sicherheit von OneKey zu danken“, erklärte OneKey.
Damit verbundenen: „Gehorchen Sie mir bis zum heutigen Tag“ – Krypto-Venture im Wert von 4 Millionen US-Dollar, das in einem Lodge-Foyer gehackt wurde
In seinem Weblog hat OneKey erklärt, dass es bereits große Anstrengungen unternommen hat, um die Sicherheit seiner Kunden zu gewährleisten, zusammen mit der Sicherheit vor Kettenangriffen – wenn ein Hacker eine echte Tasche durch eine ersetzt, die er verwaltet.
Zu den Maßnahmen von OneKey gehörten manipulationssichere Verpackungen für Sendungen und die Nutzung von Dienstleistern von Apple, um eine strenge Verwaltung der Kettensicherheit zu gewährleisten.
Früher oder später hoffen sie, eine Onboard-Authentifizierung zu implementieren und neuere {Hardware}-Wallets mit Sicherheitselementen auf höherer Ebene zu verbessern.
OneKey ist bekannt dafür, dass das Hauptziel von {Hardware}-Wallets immer darin bestand, die Gelder der Kunden vor Malware-Angriffen, Laptop-Viren und anderen entfernten Risiken zu schützen, räumte jedoch ein, dass leider nichts 100% sicher sein kann.
„Wenn wir uns den gesamten Herstellungsprozess von {Hardware}-Taschen ansehen, von Siliziumkristallen bis zum Chipcode, von der Firmware bis zum Softwareprogramm, kann man mit Sicherheit sagen, dass bei ausreichendem Geld, Zeit und Vermögen jede {Hardware}-Hürde sein kann beschädigt, selbst wenn es sich um ein Atomwaffen-Managementsystem handelt."