Dobavljač kripto hardverskih novčanika OneKey kaže da je već riješio problem ranjivosti u svom firmveru koji je omogućio hakiranje jednog od njegovih hardverskih novčanika u jednoj sekundi.
Video na YouTubeu objavio 10. veljače od strane startupa za kibernetičku sigurnost Unciphered pokazali su da su otkrili način za iskorištavanje "masivne kritične ranjivosti" koja im je omogućila "provaliti" OneKey Mini.
Prema Ericu Michaudu, partneru u Uncipheredu, rastavljanjem uređaja i umetanjem koda, bilo je moguće vratiti OneKey Mini u "tvornički način rada" i zaobići sigurnosni pin, dopuštajući potencijalnom napadaču da ukloni mnemoničku frazu korištenu za oporavak novčanik.
“Imate CPU i sigurnosni element. Sigurnosni element je mjesto gdje čuvate svoje kripto ključeve. Sada, normalno, komunikacija je šifrirana između CPU-a, gdje se vrši obrada, i sigurnosnog elementa,” objasnio je Michaud.
»Pa, pokazalo se da u ovom slučaju nije napravljeno za to. Dakle, ono što možete učiniti je staviti alat u sredinu koji nadzire komunikaciju i presreće je, a zatim ubacuje vlastite naredbe,” rekao je, dodajući:
"Učinili smo to gdje on zatim kaže sigurnosnom elementu da je u tvorničkom načinu rada i možemo izvaditi vaše mnemonike, što je vaš novac u kripto."
Međutim, u izjavi od 10. veljače, OneKey je rekao da već jest obratio sigurnosni propust koji je identificirao Unciphered, napominjući da je njegov tim za hardver ažurirao sigurnosnu zakrpu "ranije ove godine", a da "nitko nije pogođen" i da su "sve otkrivene ranjivosti popravljene ili se popravljaju".
Naš odgovor na nedavna izvješća o sigurnosnim popravcima https://t.co/Dp9nNp1D0U
— OneKey novčanik otvorenog koda (@OneKeyHQ) Veljače 10, 2023
“Unatoč tome, uz izraze lozinki i osnovne sigurnosne prakse, čak ni fizički napadi koje otkrije Unciphered neće utjecati na korisnike OneKeya.”
Tvrtka je dalje istaknula da, iako je ranjivost zabrinjavajuća, vektor napada koji je identificirao Unciphered ne može se koristiti daljinski i zahtijeva "rastavljanje uređaja i fizički pristup putem namjenskog FPGA uređaja u laboratoriju kako bi se mogao izvršiti."
Prema OneKeyu, tijekom dopisivanja s Uncipheredom, otkriveno je da su drugi novčanici bili otkrili da imaju slične probleme.
"Također smo platili nagrade Uncipheredu kako bismo im zahvalili na doprinosu sigurnosti OneKeyja", rekao je OneKey.
Povezano: 'Progoni me do danas' — kripto projekt hakiran za 4 milijuna dolara u predvorju hotela
U svom postu na blogu, OneKey je rekao da je već uložio velike napore kako bi osigurao sigurnost svojih korisnika, uključujući njihovu zaštitu od napadi na lanac opskrbe — kada haker zamijeni originalni novčanik onim koji on kontrolira.
Mjere OneKeya uključivale su pakiranje zaštićeno od neovlaštenog otvaranja za isporuke i korištenje pružatelja usluga lanca opskrbe iz Applea kako bi se osiguralo strogo upravljanje sigurnošću lanca opskrbe.
U budućnosti se nadaju implementaciji onboard autentifikacije i nadogradnji novijih hardverskih novčanika sa sigurnosnim komponentama više razine.
OneKey je napisao da je glavni namjena hardverskih novčanika uvijek je bila zaštita novca korisnika od napada zlonamjernog softvera, računalnih virusa i drugih daljinskih opasnosti, ali nažalost, ništa ne može biti 100% sigurno.
“Kada pogledamo cijeli proces proizvodnje hardverskog novčanika, od silicijskih kristala do koda čipa, od firmvera do softvera, sa sigurnošću možemo reći da uz dovoljno novca, vremena i resursa, svaka hardverska barijera može biti probijena, čak i ako se radi o nuklearnom oružju kontrolni sustav."
Izvor: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second