Crypto {hårdvara} fickor OneKey säger att det redan har åtgärdat en sårbarhet i sin firmware som gjorde att en av dess {hårdvara} plånböcker kunde hackas på en sekund.
Den tionde februari en video på YouTube Posted från cybersäkerhetsstartup Unciphered avslöjade att de upptäckt en teknik för att utnyttja en "stor viktig sårbarhet" för att "spricka upp" en OneKey Mini.
I enlighet med Eric Michaud, en medbrottsling på Unciphered, var det möjligt att återställa OneKey Mini till "tillverkningsenhetsläge" genom att demontera maskinen och sätta in kodning och kringgå säkerhets-PIN-koden, vilket gjorde det möjligt för en eventuell angripare att ta bort den mnemoniska frasen som användes till Restaurering av en använd handväska.
"De har processorn och den säkra aspekten. Den säkra aspekten är platsen där du behåller dina kryptonycklar. Vanligtvis är kommunikationen mellan processorn, platsen där bearbetningen är klar och den säkra aspekten krypterad”, definierade Michaud.
"I själva verket verkar det inte vara designat för det i det här fallet. Så de kan placera ett instrument i centret som visar och avlyssnar kommunikationen varefter de injicerar deras alldeles egna instruktioner," sa han, inklusive:
"Vi gjorde det där den sedan berättar för den säkra aspekten att den är i tillverkningsenhetsläge och vi kan ta ut ditt minnesminne som är dina pengar i krypto."
Icke desto mindre, i ett tillkännagivande den 10 februari, uppgav OneKey att så redan är fallet adresserad sårbarheten som upptäcktes av Unciphered, och noterade att dess {hårdvara}-arbetsstyrka hade uppdaterad säkerhetskorrigering "tidigare dessa 12 månader" utan att "påverka någon" och att "alla avslöjade sårbarheter har åtgärdats eller ska åtgärdas".
Vårt svar på senaste säkerhetsreparationsrecensioner https://t.co/Dp9nNp1D0U
— OneKey fickor med öppen källkod (@OneKeyHQ) Februari 10, 2023
"Med lösenordsfraser och primära säkerhetsrutiner kommer inte ens kroppsliga övergrepp som avslöjats av Unciphered att skada OneKey-kunder."
Företagsexperten betonade att även om sårbarheten är oroande, kan attackvektorn som identifieras av Unciphered inte användas på distans och "kräver demontering av maskinen och kroppslig ingång med hjälp av en dedikerad FPGA-maskin i labbet i ett försök att köra. " ".
I enlighet med OneKey, under hela korrespondensen med Unciphered, växte det till att identifieras att olika plånböcker hade upplevt relaterade punkter.
"Vi betalade dessutom ut bonusar till Unciphered för att tacka dem för hans eller hennes bidrag till OneKeys säkerhet", säger OneKey.
Associerad: "Följ mig till denna dag" - 4 miljoner dollar kryptosatsning hackad i en lodgefoajé
I sin webblogg som lagts upp har OneKey definierat att de redan har gjort fina ansträngningar för att säkerställa säkerheten för sina kunder, tillsammans med säkerheten för att tillhandahålla kedjeangrepp – när en hacker ersätter en faktisk ficka med en som de hanterar.
OneKeys åtgärder inkluderade manipuleringssäker förpackning för försändelser och användningen av Apples leverantörer av kedjetjänster för att säkerställa strikt kedjesäkerhetsadministration.
Förr eller senare hoppas de kunna implementera inbyggd autentisering och förbättra nyare {hårdvara}-plånböcker med säkerhetselement på högre nivå.
OneKey berömd att det primära syftet med {hardware}-plånböcker alltid har varit att skydda kunders pengar från skadlig programvara, virus på bärbara datorer och olika avlägsna risker, men medgett att tyvärr ingenting kan vara 100% säkert.
"Om vi tittar på hela tillverkningsprocessen för {hårdvara} fickor, från kiselkristaller till chipkod, från firmware till programvara, är det säkert att säga att givet tillräckligt med pengar, tid och tillgångar, kan alla {hårdvara}-barriärer vara skadat, även när det gör det är det ett kärnvapenhanteringssystem."
