Leverancier van crypto-{hardware}-pockets OneKey zegt dat het al een kwetsbaarheid in zijn firmware heeft aangebracht waardoor een van zijn {hardware}-wallets in een oogwenk kon worden gehackt.
Op XNUMX februari een filmpje op YouTube Geplaatst op van cybersecurity-startup Unciphered onthulde dat ze een techniek ontdekten om een "grote, belangrijke kwetsbaarheid" uit te buiten om een OneKey Mini "open te breken".
Volgens Eric Michaud, een medeplichtige bij Unciphered, was het mogelijk om door de machine te demonteren en code in te voeren de OneKey Mini te resetten naar "manufacturing unit-modus" en de veiligheidspincode te omzeilen, waardoor een mogelijke aanvaller de gebruikte geheugensteun kon wegnemen. tot Restauratie van een gebruikte portemonnee.
“Zij hebben de CPU en het veilige aspect. Het veilige aspect is de plaats waar u uw cryptosleutels bewaart. Gewoonlijk is de communicatie tussen de CPU, de plaats waar de verwerking is voltooid en het veilige aspect gecodeerd”, legt Michaud uit.
"In feite lijkt het er in dit geval niet voor ontworpen te zijn. Dus kunnen ze een instrument in het centrum plaatsen dat de communicatie weergeeft en onderschept, waarna ze hun eigen instructies injecteren", zei hij, inclusief:
"We hebben dat gedaan waar het vervolgens het veilige aspect vertelt dat het zich in de productie-eenheidmodus bevindt en we kunnen uw geheugensteuntje, uw geld in crypto, eruit halen."
Desalniettemin verklaarde OneKey in een aankondiging op 10 februari dat dit al het geval is aangesproken de door Unciphered herkende kwetsbaarheid, waarbij hij opmerkte dat zijn {hardware}-personeel de veiligheidspatch "eerder deze 12 maanden" up-to-date had zonder "iemand te treffen" en dat "alle onthulde kwetsbaarheden zijn of zullen worden verholpen".
Onze reactie op de laatste beoordelingen van veiligheidsreparaties https://t.co/Dp9nNp1D0U
- OneKey open source-pockets (@OneKeyHQ) 10 februari 2023
"Met wachtwoordzinnen en primaire veiligheidspraktijken zullen zelfs lichamelijke aanvallen die door Unciphered worden ontdekt, OneKey-klanten geen kwaad doen."
Het bedrijf benadrukte dat hoewel de kwetsbaarheid zorgwekkend is, de door Unciphered herkende aanvalsvector niet op afstand kan worden gebruikt en "de machine moet worden gedemonteerd en lichamelijk moet worden betreden door middel van een speciale FPGA-machine in het laboratorium om te kunnen werken. " “.
Volgens OneKey werd tijdens de correspondentie met Unciphered steeds duidelijker dat verschillende wallets gerelateerde problemen hadden.
"We hebben bovendien bonussen betaald aan Unciphered om hen te bedanken voor zijn of haar bijdragen aan de veiligheid van OneKey", aldus OneKey.
Geassocieerd: 'Volg me tot op de dag van vandaag' - $ 4 miljoen crypto-onderneming gehackt in een lodge-foyer
In zijn weblog heeft OneKey beschreven dat het al goede inspanningen heeft geleverd om de veiligheid van zijn klanten te waarborgen, samen met veiligheid om kettingaanvallen uit te voeren - wanneer een hacker een echte portemonnee vervangt door een die hij beheert.
De maatregelen van OneKey omvatten verzegelde verpakkingen voor zendingen en het gebruik van leveranciers van ketenservices van Apple om te zorgen voor een strikte ketenveiligheidsadministratie.
Vroeg of laat hopen ze ingebouwde authenticatie te implementeren en nieuwere {hardware} wallets te verbeteren met veiligheidselementen van een hoger niveau.
OneKey merkte op dat het primaire doel van {hardware} wallets altijd is geweest om het geld van klanten te beschermen tegen malware-aanvallen, laptopvirussen en andere risico's op afstand, maar erkende helaas dat niets 100% veilig is.
“Als we kijken naar het volledige fabricageproces van {hardware}-pockets, van siliciumkristallen tot chipcode, van firmware tot softwareprogramma, kunnen we met zekerheid zeggen dat met voldoende geld, tijd en middelen elke {hardware}-barrière kan worden beschadigd, zelfs als dat het geval is, is het een beheersysteem voor kernwapens."