Il fornitore di portafogli {hardware} per criptovalute OneKey afferma di aver già risolto una vulnerabilità nel suo firmware che ha consentito di hackerare uno dei suoi portafogli {hardware} in un secondo.
Il dieci febbraio un video su YouTube Inviato della startup di sicurezza informatica Unciphered ha rivelato di aver scoperto una tecnica per sfruttare una "grande e importante vulnerabilità" per "aprire" un OneKey Mini.
Secondo Eric Michaud, complice di Unciphered, smontando il dispositivo e inserendo la codifica, è stato possibile reimpostare OneKey Mini in "modalità unità di produzione" e bypassare il PIN di sicurezza, consentendo a un eventuale malintenzionato di rimuovere la frase mnemonica utilizzata al Restauro di una borsa usata.
“Hanno la CPU e l'aspetto sicuro. L'aspetto sicuro è il luogo in cui conservi le tue chiavi crittografiche. Di solito, la comunicazione tra la CPU, il luogo in cui termina l’elaborazione e l’aspetto sicuro è crittografata”, ha spiegato Michaud.
"In effetti, sembra che non sia stato progettato per questo in questo caso. Quindi potrebbero mettere uno strumento al centro che visualizza e intercetta le comunicazioni e poi inietta le proprie istruzioni", ha detto, aggiungendo:
"L'abbiamo fatto nel momento in cui comunica al lato sicuro che è in modalità unità di produzione e siamo in grado di estrarre il tuo mnemonico che è il tuo denaro in criptovaluta."
Tuttavia, in un annuncio del 10 febbraio, OneKey ha affermato che è già così indirizzata la vulnerabilità riconosciuta da Unciphered, sottolineando che il suo personale {hardware} aveva aggiornato la patch di sicurezza "all'inizio di quest'anno" senza "influenzare nessuno" e che "tutte le vulnerabilità divulgate sono state o saranno risolte".
La nostra risposta alle ultime revisioni delle riparazioni di sicurezza https://t.co/Dp9nNp1D0U
- Tasche open source OneKey (@OneKeyHQ) 10 Febbraio 2023
"Con le frasi password e le principali pratiche di sicurezza, anche le aggressioni fisiche scoperte da Unciphered non danneggeranno i clienti OneKey."
L'azienda ha sottolineato inoltre che, sebbene la vulnerabilità sia preoccupante, il vettore di attacco riconosciuto da Unciphered non può essere utilizzato da remoto e "richiede lo smontaggio del sistema e l'accesso fisico tramite una macchina FPGA dedicata all'interno del laboratorio per funzionare. " “.
Secondo OneKey, durante la corrispondenza con Unciphered, è stato riscontrato che diversi portafogli avevano riscontrato problemi correlati.
"Abbiamo anche pagato dei bonus a Unciphered per ringraziarli per il suo contributo alla sicurezza di OneKey", ha affermato OneKey.
associato: "Rispettami fino ad oggi": un'impresa di criptovaluta da 4 milioni di dollari violata nell'atrio di un hotel
Nel suo post sul blog, OneKey ha spiegato di aver già compiuto notevoli sforzi per garantire la sicurezza dei propri clienti, inclusa la sicurezza nei confronti degli attacchi a catena di fornitura, quando un hacker sostituisce una tasca reale con una di sua gestione.
Le misure di OneKey includevano imballaggi a prova di manomissione per le spedizioni e l'utilizzo dei fornitori di servizi della catena di fornitura di Apple per garantire una rigorosa gestione della sicurezza della catena di fornitura.
Prima o poi sperano di implementare l'autenticazione integrata e migliorare i nuovi portafogli {hardware} con elementi di sicurezza di livello superiore.
OneKey ha notato che l'obiettivo principale dei portafogli {hardware} è sempre stato quello di proteggere i fondi degli utenti da attacchi di malware, virus informatici e altri rischi lontani, ma ha riconosciuto che purtroppo nulla può essere sicuro al 100%.
"Se diamo uno sguardo al processo completo di produzione delle tasche dell'hardware, dai cristalli di silicio al codice del chip, dal firmware al software, è sicuro affermare che, con denaro, tempo e risorse sufficienti, qualsiasi barriera dell'hardware potrebbe essere superata." danneggiato, anche quando lo fa si tratta di un sistema di gestione delle armi nucleari."
