Dobavljač kripto hardverskih novčanika OneKey kaže da je već riješio ranjivost u svom firmveru koja je omogućila da jedan od njegovih hardverskih novčanika bude hakovan u jednoj sekundi.
Video na YouTube-u objavljeno 10. februara od strane sajber-sigurnosnog startup-a Unciphered pokazao je da su smislili način da iskoriste "ogromnu kritičnu ranjivost" koja im je omogućila da "otvore" OneKey Mini.
Prema Eric Michaudu, partneru u Uncipheredu, rastavljanjem uređaja i umetanjem kodiranja, bilo je moguće vratiti OneKey Mini u "fabrički način" i zaobići sigurnosni pin, omogućavajući potencijalnom napadaču da ukloni mnemoničku frazu koja se koristi za oporavak novčanik.
“Imate CPU i sigurnosni element. Sigurnosni element je mjesto gdje čuvate svoje kripto ključeve. Sada, normalno, komunikacija je šifrovana između CPU-a, gdje se vrši obrada, i sigurnog elementa,” objasnio je Michaud.
“Pa ispostavilo se da u ovom slučaju to nije dizajnirano za to. Dakle, ono što možete učiniti je staviti alat u sredinu koji nadgleda komunikacije i presreće ih, a zatim ubacuje njihove vlastite komande”, rekao je, dodajući:
„To smo uradili tako što on onda kaže sigurnom elementu da je u fabričkom režimu i mi možemo da izvadimo vašu mnemoniku, a to je vaš novac u kripto."
Međutim, u izjavi od 10. februara, OneKey je rekao da već jeste adresirano sigurnosni propust koji je identificirao Unciphered, napominjući da je njegov hardverski tim ažurirao sigurnosnu zakrpu "ranije ove godine" bez da "niko nije pogođen" i da su "sve otkrivene ranjivosti popravljene ili se popravljaju."
Naš odgovor na nedavne izvještaje o sigurnosnim popravkama https://t.co/Dp9nNp1D0U
— OneKey novčanik otvorenog koda (@OneKeyHQ) Februar 10, 2023
“Ipak, uz fraze lozinke i osnovne sigurnosne prakse, čak ni fizički napadi koje otkrije Unciphered neće utjecati na korisnike OneKey-a.”
Kompanija je dalje naglasila da, iako je ranjivost zabrinjavajuća, vektor napada koji je identificirao Unciphered ne može se koristiti na daljinu i zahtijeva "rastavljanje uređaja i fizički pristup preko namjenskog FPGA uređaja u laboratoriji da bi se moglo izvršiti."
Prema OneKey-u, tokom prepiske sa Unciphered-om, otkriveno je da su bili i drugi novčanici utvrđeno da imaju slične probleme.
„Takođe smo platili Unciphered nagrade da im se zahvalimo za njihov doprinos sigurnosti OneKeya,“ rekao je OneKey.
Povezano: 'Proganja me do danas' — Kripto projekat hakovan za 4 miliona dolara u predvorju hotela
U svom blog postu, OneKey je rekao da se već potrudio da osigura sigurnost svojih korisnika, uključujući njihovu zaštitu od napadi na lanac snabdevanja — kada haker zamijeni originalni novčanik onim koji oni kontroliraju.
OneKey-ove mjere su uključivale pakovanje za isporuku otporno na neovlašteno korištenje i korištenje Apple-ovih provajdera usluga u lancu snabdijevanja kako bi se osiguralo strogo upravljanje sigurnošću lanca snabdijevanja.
U budućnosti se nadaju da će implementirati ugrađenu autentifikaciju i nadograditi novije hardverske novčanike sa sigurnosnim komponentama višeg nivoa.
OneKey je napisao da je glavni svrha hardverskih novčanika je oduvijek bila zaštita novca korisnika od napada zlonamjernog softvera, kompjuterskih virusa i drugih udaljenih opasnosti, ali nažalost, ništa ne može biti 100% sigurno.
“Kada pogledamo cijeli proces proizvodnje hardverskog novčanika, od kristala silikona do čip koda, od firmvera do softvera, sa sigurnošću se može reći da s dovoljno novca, vremena i resursa, svaka hardverska barijera može biti probijena, čak i ako je u pitanju nuklearno oružje sistem kontrole."
Izvor: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second