OneKey, tvrtka koja pruža kriptografske hardverske novčanike, rekla je da je već zakrpala grešku u svom firmwareu koja je omogućila da jedan od njihovih hardverskih novčanika bude kompromitiran za manje od jedne sekunde.
Unciphered, tvrtka u području kibernetičke sigurnosti, rekla je u videu koji je postavljen na YouTube 10. veljače da je otkrila način za "razbijanje" OneKey Minia iskorištavanjem "masovnog velikog propusta" i iskorištavanjem istog.
Bilo je moguće, prema Ericu Michaudu, partneru u Uncipheredu, vratiti OneKey Mini u "tvornički način rada" i zaobići sigurnosni pin rastavljanjem uređaja i umetanjem kodiranja. To bi potencijalnom napadaču omogućilo uklanjanje mnemoničke fraze koja se koristi za oporavak novčanika. To je omogućeno vraćanjem uređaja u "tvornički način rada".
“Imate središnju procesorsku jedinicu kao i sigurnosni element. Vaši kriptografski ključevi uvijek će biti pohranjeni u sigurnosnom elementu. Michaud je primijetio da su u tipičnoj situaciji veze između središnje procesorske jedinice (CPU), gdje se vrši obrada, i sigurnosnog elementa šifrirane.
“Pa, kako se ispostavilo, u ovom konkretnom slučaju, nije napravljen za to. "Ono što možete učiniti je staviti alat u sredinu koji nadzire komunikaciju i presreće je, a zatim ubrizgava vlastite naredbe", rekao je, dodajući: "Kada se to kaže, s frazama zaporki i osnovnim sigurnosnim praksama, čak i fizički napadi otkriveni od strane Nešifrirano neće utjecati na korisnike OneKeya.”
Tvrtka je dalje naglasila da unatoč činjenici da je ranjivost zabrinjavajuća, vektor napada koji je otkrio Unciphered ne može se koristiti daljinski. Umjesto toga, potrebno je "rastavljanje uređaja i fizički pristup putem namjenskog FPGA uređaja u laboratoriju" kako bi se moglo izvršiti.
Prema OneKeyu, nakon razgovora s Uncipheredom, otkriveno je da su drugi novčanici imali slične poteškoće. Ovo je otkriveno kada je otkriveno da drugi novčanici imaju isti problem.
OneKey je rekao da su kompenzirali Unciphered nagradama kao način izražavanja zahvalnosti za njihov doprinos sigurnosti tvrtke.
OneKey je u objavi na blogu rekao da je već poduzeo značajne mjere opreza kako bi osigurao sigurnost svojih kupaca. Ove mjere opreza uključuju zaštitu kupaca od napada u opskrbnom lancu, do kojih dolazi kada haker zamijeni pravi novčanik onim koji je pod njegovom kontrolom.
Pakiranje pošiljaka zaštićeno od neovlaštenog otvaranja jedan je od koraka koje je poduzeo OneKey, zajedno s korištenjem Appleovih vlastitih pružatelja usluga lanca opskrbe u svrhu osiguravanja čvrstog upravljanja sigurnošću lanca opskrbe.
Imaju težnju dodati onboard autentifikaciju u ne tako dalekoj budućnosti i ažurirati novije hardverske novčanike sigurnosnim komponentama više razine.
Prema onome što je rekao OneKey, primarni cilj hardverskih novčanika uvijek je bio zaštititi financijsku imovinu korisnika od kibernetičkih napada, računalnih virusa i drugih potencijalnih prijetnji; ipak, nažalost, ništa ne može biti potpuno sigurno.
„Kada pogledamo cijeli proizvodni proces hardverskih novčanika, od silikonskih kristala do koda čipa, od firmvera do softver, sa sigurnošću se može reći da se svaka hardverska barijera može probiti uz dovoljno novca, vremena i resursa; čak i ako se radi o sustavu kontrole nuklearnog oružja«. "Kada pogledamo cijeli proizvodni proces hardverskih novčanika, od silikonskih kristala do koda čipa, od firmvera do softvera,"
Izvor: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked