Ponudnik kripto strojne denarnice OneKey pravi, da je že odpravil ranljivost v svoji vdelani programski opremi, ki je omogočila vdor v eno od njegovih strojnih denarnic v eni sekundi.
Video na YouTubu objavljene 10. februarja kibernetska varnost startup Unciphered je pokazal, da so ugotovili, kako izkoristiti "ogromno kritično ranljivost", ki jim je omogočila, da "odprejo" OneKey Mini.
Po mnenju Erica Michauda, partnerja pri Unciphered, je bilo mogoče z razstavljanjem naprave in vstavljanjem kodiranja OneKey Mini vrniti v "tovarniški način" in obiti varnostni zatič, kar je potencialnemu napadalcu omogočilo, da odstrani mnemonično frazo, ki se uporablja za obnovitev denarnica.
»Imate CPE in varni element. Varnostni element je kraj, kjer hranite svoje kripto ključe. Zdaj je običajno komunikacija šifrirana med CPE, kjer poteka obdelava, in varnim elementom,« je pojasnil Michaud.
»No, izkazalo se je, da v tem primeru ni bilo zasnovano za to. Torej lahko na sredino postavite orodje, ki nadzoruje komunikacije in jih prestreza ter nato vnaša lastne ukaze,« je dejal in dodal:
"To smo storili, ko nato varnostnemu elementu sporoči, da je v tovarniškem načinu, in lahko odstranimo vašo mnemoniko, kar je vaš denar v kripto."
Vendar je OneKey v izjavi z dne 10. februarja dejal, da je že naslovljena varnostno napako, ki jo je odkril Unciphered, pri čemer ugotavlja, da je njegova ekipa za strojno opremo posodobila varnostni popravek "v začetku tega leta", ne da bi bil "kogar koli prizadet" in da so "vse razkrite ranljivosti bile ali se še popravljajo."
Naš odgovor na nedavna poročila o varnostnih popravkih https://t.co/Dp9nNp1D0U
— Odprtokodna denarnica OneKey (@OneKeyHQ) Februar 10, 2023
"Ne glede na to, z besednimi zvezami in osnovnimi varnostnimi praksami, tudi fizični napadi, ki jih razkrije Unciphered, ne bodo vplivali na uporabnike OneKey."
Podjetje je nadalje poudarilo, da čeprav je ranljivost zaskrbljujoča, vektorja napada, ki ga je identificiral Unciphered, ni mogoče uporabiti na daljavo in zahteva "razstavljanje naprave in fizični dostop prek namenske naprave FPGA v laboratoriju, da se lahko izvede."
Glede na OneKey je bilo med dopisovanjem z Unciphered razkrito, da so bile druge denarnice ugotovili, da ima podobne težave.
»Plačali smo tudi nagrade Uncipherdu v zahvalo za njihove prispevke k varnosti OneKey,« je dejal OneKey.
Povezano: 'Preganja me še danes' — v avli hotela so vdrli v kripto projekt za 4 milijone dolarjev
OneKey je v svojem blogu povedal, da se je že zelo potrudil, da bi zagotovil varnost svojih uporabnikov, vključno z zaščito pred napadi dobavne verige — ko heker zamenja pravo denarnico s tisto, ki jo nadzira sam.
Ukrepi OneKey so vključevali embalažo, zaščiteno pred posegi, za dostavo in uporabo ponudnikov storitev dobavne verige iz družbe Apple, da se zagotovi strogo upravljanje varnosti dobavne verige.
V prihodnosti upajo, da bodo implementirali vgrajeno avtentikacijo in nadgradili novejše strojne denarnice z varnostnimi komponentami višje ravni.
OneKey je zapisal, da glavni namen strojnih denarnic že od nekdaj varuje denar uporabnikov pred napadi zlonamerne programske opreme, računalniškimi virusi in drugimi nevarnostmi na daljavo, a na žalost nič ne more biti 100 % varno.
»Ko pogledamo celoten proces izdelave strojne denarnice, od silicijevih kristalov do kode čipa, od vdelane programske opreme do programske opreme, lahko z gotovostjo trdimo, da je z dovolj denarja, časa in sredstev mogoče prebiti vsako strojno oviro, tudi če gre za jedrsko orožje. nadzorni sistem."
Vir: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second