Ofruesi i portofolit të harduerit kripto, OneKey, thotë se tashmë ka adresuar një dobësi në firmuerin e tij që lejoi që një nga kuletat e tij të harduerit të hakohej brenda një sekonde.
Një video në YouTube postuar më 10 shkurt nga startup-i i sigurisë kibernetike Unciphered tregoi se ata kishin gjetur një mënyrë për të shfrytëzuar një "vulnerabilitet masiv kritik" që i lejoi ata të "hapnin" një OneKey Mini.
Sipas Eric Michaud, një partner në Unciphered, duke çmontuar pajisjen dhe duke futur kodimin, ishte e mundur të kthehej OneKey Mini në "modalitetin e fabrikës" dhe të anashkalohej kunja e sigurisë, duke lejuar një sulmues të mundshëm të hiqte frazën mnemonike të përdorur për të rikuperuar një portofolin.
“Ju keni CPU-në dhe elementin e sigurt. Elementi i sigurt është vendi ku mbani çelësat tuaj kripto. Tani, normalisht, komunikimet janë të koduara midis CPU-së, ku kryhet përpunimi, dhe elementit të sigurt, "shpjegoi Michaud.
“Epo, rezulton se nuk ishte projektuar për ta bërë këtë në këtë rast. Pra, ajo që mund të bëni është të vendosni një mjet në mes që monitoron komunikimet dhe i përgjon ato dhe më pas injekton komandat e tyre, "tha ai, duke shtuar:
"Ne e bëmë atë ku më pas i tregon elementit të sigurt se është në modalitetin e fabrikës dhe ne mund t'i heqim kujtesën tuaj, që janë paratë tuaja në kripto."
Megjithatë, në një deklaratë të 10 shkurtit, OneKey tha se tashmë kishte drejtuar defekti i sigurisë i identifikuar nga Unciphered, duke vënë në dukje se ekipi i tij i harduerit kishte përditësuar patch-in e sigurisë "më herët këtë vit" pa "të prekur askush" dhe se "Të gjitha dobësitë e zbuluara janë rregulluar ose po rregullohen".
Përgjigjja jonë ndaj raporteve të fundit të rregullimit të sigurisë https://t.co/Dp9nNp1D0U
— Portofoli me burim të hapur OneKey (@OneKeyHQ) Shkurt 10, 2023
“Thënë kjo, me frazat e fjalëkalimeve dhe praktikat bazë të sigurisë, edhe sulmet fizike të zbuluara nga Unciphered nuk do të prekin përdoruesit e OneKey.”
Kompania theksoi më tej se ndërsa cenueshmëria ishte shqetësuese, vektori i sulmit i identifikuar nga Unciphered nuk mund të përdoret nga distanca dhe kërkon "çmontimin e pajisjes dhe aksesin fizik përmes një pajisjeje të dedikuar FPGA në laborator për të qenë e mundur për t'u ekzekutuar".
Sipas OneKey, gjatë korrespondencës me Unciphered, u zbulua se kuletat e tjera kanë qenë u zbulua se kishte probleme të ngjashme.
"Ne paguam gjithashtu dhurata të Unciphered për t'i falënderuar për kontributin e tyre në sigurinë e OneKey," tha OneKey.
Në postimin e saj në blog, OneKey ka thënë se tashmë ka bërë përpjekje të mëdha për të garantuar sigurinë e përdoruesve të tij, duke përfshirë mbrojtjen e tyre nga sulmet e zinxhirit të furnizimit — kur një haker zëvendëson një portofol të vërtetë me një të kontrolluar prej tyre.
Masat e OneKey kanë përfshirë paketimin e papërshtatshëm për dërgesat dhe përdorimin e ofruesve të shërbimeve të zinxhirit të furnizimit nga Apple për të siguruar menaxhim të rreptë të sigurisë së zinxhirit të furnizimit.
Në të ardhmen, ata shpresojnë të zbatojnë vërtetimin në bord dhe të përmirësojnë kuletat më të reja të harduerit me komponentë sigurie të nivelit më të lartë.
OneKey shkroi se kryesore qëllimi i kuletave harduerike ka qenë gjithmonë mbrojtja e parave të përdoruesve nga sulmet e malware, viruset kompjuterike dhe rreziqe të tjera të largëta, por për fat të keq, asgjë nuk mund të jetë 100% e sigurt.
“Kur shikojmë të gjithë procesin e prodhimit të portofolit të harduerit, nga kristalet e silikonit te kodi i çipit, nga firmueri te softueri, është e sigurt të thuhet se me para, kohë dhe burime të mjaftueshme, çdo pengesë harduerike mund të shkelet, edhe nëse është një armë bërthamore. sistemi I kontrollit."
Burimi: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second