Kripto aparatinės įrangos piniginės tiekėjas „OneKey“ teigia, kad jau pašalino savo programinės įrangos pažeidžiamumą, dėl kurio per vieną sekundę buvo galima įsilaužti į vieną iš aparatinės įrangos piniginių.
Vaizdo įrašas „YouTube“. parašė vasario 10 d. kibernetinio saugumo startuolis Unciphered parodė, kad sugalvojo būdą, kaip išnaudoti „didžiulį kritinį pažeidžiamumą“, leidžiantį „nulaužti“ OneKey Mini.
Pasak Unciphered partnerio Erico Michaudo, išardžius įrenginį ir įvedus kodavimą, buvo galima grąžinti OneKey Mini į „gamyklinį režimą“ ir apeiti saugos kaištį, todėl potencialus užpuolikas galėjo pašalinti mnemoninę frazę, naudojamą atkurti piniginė.
„Turite procesorių ir saugų elementą. Saugus elementas yra vieta, kur laikote savo kriptovaliutų raktus. Dabar paprastai ryšiai yra užšifruoti tarp procesoriaus, kuriame atliekamas apdorojimas, ir saugaus elemento“, – paaiškino Michaud.
„Na, pasirodo, šiuo atveju tai nebuvo sukurta. Taigi, ką galite padaryti, tai įdėti įrankį, kuris stebi ryšius ir perima juos, o tada suleidžia savo komandas“, – sakė jis ir pridūrė:
„Mes tai padarėme, kai jis praneša saugiam elementui, kad jis veikia gamykliniu režimu, ir mes galime išimti jūsų mnemoniką, tai yra jūsų pinigai kriptovaliuta.
Tačiau vasario 10 d. paskelbtame pareiškime „OneKey“ teigė, kad tai jau padarė adresuotas „Unciphered“ nustatė saugumo trūkumą, pažymėdamas, kad jos aparatinės įrangos komanda atnaujino saugos pataisą „anksčiau šiais metais“, „niekas nepaveikdama“ ir kad „visi atskleisti pažeidžiamumai buvo arba yra taisomi“.
Mūsų atsakymas į naujausias saugos pataisymų ataskaitas https://t.co/Dp9nNp1D0U
- „OneKey“ atvirojo kodo piniginė (@OneKeyHQ) Vasaris 10, 2023
„Turint omenyje slaptažodžių frazes ir pagrindines saugumo praktikas, net fizinės atakos, kurias atskleidė Unciphered, nepaveiks OneKey vartotojų.
Bendrovė taip pat pabrėžė, kad nors pažeidžiamumas kelia nerimą, „Unciphered“ identifikuotas atakos vektorius negali būti naudojamas nuotoliniu būdu ir „kad būtų galima jį išardyti įrenginį ir fizinę prieigą per tam skirtą FPGA įrenginį laboratorijoje“.
Anot „OneKey“, susirašinėjimo su „Unciphered“ metu buvo atskleista, kad buvo ir kitų piniginių nustatė, kad turi panašių problemų.
„Mes taip pat sumokėjome Unciphered premijas, kad padėkotume jiems už indėlį į OneKey saugumą“, – sakė OneKey.
Susiję: „Persekioja mane iki šiol“ – kriptovaliutų projektas buvo nulaužtas už 4 mln. USD viešbučio fojė
Savo tinklaraščio įraše „OneKey“ teigė, kad jau labai stengėsi užtikrinti savo vartotojų saugumą, įskaitant apsaugą nuo tiekimo grandinės atakų – kai įsilaužėlis pakeičia tikrą piniginę į savo valdomą.
Siekiant užtikrinti griežtą tiekimo grandinės saugumo valdymą, „OneKey“ priemonės apėmė nuo klastojimo apsaugotą siuntų pakuotę ir „Apple“ tiekimo grandinės paslaugų teikėjų naudojimą.
Ateityje jie tikisi įdiegti autentifikavimą ir atnaujinti naujesnes aparatinės įrangos pinigines su aukštesnio lygio saugos komponentais.
OneKey rašė, kad pagrindinis aparatinės piniginės paskirtis visada buvo apsaugoti vartotojų pinigus nuo kenkėjiškų programų atakų, kompiuterinių virusų ir kitų nuotolinių pavojų, bet, deja, niekas negali būti 100% saugus.
„Kai pažvelgsime į visą aparatinės įrangos piniginės gamybos procesą, nuo silicio kristalų iki lusto kodo, nuo programinės įrangos iki programinės įrangos, galima drąsiai teigti, kad turint pakankamai pinigų, laiko ir išteklių, bet koks techninės įrangos barjeras gali būti pažeistas, net jei tai branduolinis ginklas. valdymo sistema“.
Šaltinis: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second