Crypto {hardware} taskujen toimittaja OneKey sanoo, että se on jo kiinnittänyt laiteohjelmistoonsa haavoittuvuuden, joka mahdollisti yhden sen {hardware} lompakoista hakkeroinnin sekunnissa.
Helmikuun kymmenentenä video YouTubessa Posted Kyberturvallisuuden käynnistysyritykseltä Unciphered paljasti, että he löysivät tekniikan "suuren tärkeän haavoittuvuuden" hyödyntämiseksi OneKey Minin "murtamiseen".
Uncipheredin rikoskumppanin Eric Michaudin mukaan koneen purkamisen ja koodauksen lisäämisen avulla OneKey Mini pystyttiin palauttamaan "valmistusyksikkötilaan" ja ohittamaan turva-PIN, jolloin mahdollinen hyökkääjä saattoi ottaa pois käytetyn muistolauseen. käytetyn kukkaron entisöintiin.
"Heillä on suoritin ja suojaus. Turvallinen puoli on paikka, jossa säilytät kryptoavaimesi. Yleensä kommunikaatio CPU:n, käsittelyn päättymispaikan ja turvallisuuden välillä on salattu, Michaud määrittelee.
"Tehokkaasti näyttää siltä, ettei sitä ole suunniteltu tähän tarkoitukseen tässä tapauksessa. Joten he voivat laittaa keskukseen instrumentin, joka näyttää ja sieppaa viestinnän, minkä jälkeen ruiskuttaa heidän omat ohjeensa", hän totesi, mukaan lukien:
"Teimme sen paikassa, jossa se sitten kertoo turvallisesti, että se on valmistusyksikkötilassa, ja voimme ottaa muistikirjasi, joka on kryptorahasi."
Siitä huolimatta OneKey ilmoitti 10. helmikuuta antamassaan ilmoituksessa, että näin on jo osoitettu Uncipheredin tunnistama haavoittuvuus ja huomautti, että sen {laitteisto}työntekijöillä oli päivitetty turvakorjaus "aiemmin tätä 12 kuukautta" ilman, että se "vaikuttaisi keneenkään" ja että "kaikki paljastetut haavoittuvuudet on korjattu tai korjataan".
Vastauksemme uusimpiin turvakorjausarvioihin https://t.co/Dp9nNp1D0U
- OneKey avoimen lähdekoodin taskut (@OneKeyHQ) Helmikuu 10, 2023
"Salasanalauseiden ja ensisijaisten turvallisuuskäytäntöjen ansiosta edes Uncipheredin paljastamat ruumiilliset pahoinpitelyt eivät vahingoita OneKeyn asiakkaita."
Yrityksen lisähenkilö korosti, että vaikka haavoittuvuus on huolestuttava, Uncipheredin tunnistamaa hyökkäysvektoria ei voida käyttää etänä, ja se "vaatii koneen purkamisen ja kehon sisäänpääsyn laboratoriossa omistetun FPGA-koneen avulla, jotta se toimisi. " ".
OneKeyn mukaan Uncipheredin kanssa käydyn kirjeenvaihdon aikana kävi ilmi, että eri lompakoissa oli ollut toisiinsa liittyviä ongelmia.
"Maksoimme lisäksi bonuksia Uncipheredille kiittääksemme heitä hänen panoksestaan OneKeyn turvallisuuteen", OneKey sanoi.
liittyvä: "Noudata minua tähän päivään asti" - 4 miljoonan dollarin kryptoyritys hakkeroitu majatalon aulassa
Blogissaan OneKey on määritellyt, että se on jo tehnyt hienoja ponnisteluja varmistaakseen asiakkaidensa turvallisuuden sekä turvallisuuden ketjuhyökkäysten toteuttamiseksi - kun hakkeri korvaa varsinaisen taskunsa hallinnassaan.
OneKeyn toimenpiteisiin sisältyi lähetysten peukaloituminen ja Applen tarjousketjun palveluntarjoajien käyttö varmistaakseen tiukan ketjun turvallisuuden hallinnan.
Ennemmin tai myöhemmin he toivovat voivansa ottaa käyttöön sisäisen todennuksen ja parantaa uudempia {hardware} lompakoita korkeamman tason turvaelementeillä.
OneKey on tunnettu siitä, että {hardware} lompakoiden ensisijainen tavoite on aina ollut suojata asiakkaiden varoja haittaohjelmilta, kannettavien tietokoneiden viruksilta ja erilaisilta etäisiltä riskeiltä, mutta tunnusti kuitenkin, että valitettavasti mikään ei voi olla 100 % turvallista.
"Jos tarkastelemme täydellistä {hardware} taskujen valmistusprosessia piikiteistä sirukoodiin, laiteohjelmistosta ohjelmistoon, on varmaa, että jos riittävä raha, aika ja omaisuus otetaan huomioon, mikä tahansa {laitteisto}este voi olla vaurioitunut, vaikka se olisikin, se on ydinaseiden hallintajärjestelmä."
