Penyedia dompet perkakasan Crypto OneKey berkata ia telah menangani kelemahan dalam perisian tegarnya yang membenarkan salah satu dompet perkakasannya digodam dalam satu saat.
Sebuah video di YouTube Hantar pada 10 Februari oleh pemula keselamatan siber Unciphered menunjukkan mereka telah memikirkan cara untuk mengeksploitasi "kelemahan kritikal yang besar" yang membolehkan mereka "memecahkan" OneKey Mini.
Menurut Eric Michaud, rakan kongsi di Unciphered, dengan membuka peranti dan memasukkan pengekodan, adalah mungkin untuk mengembalikan OneKey Mini kepada "mod kilang" dan memintas pin keselamatan, membolehkan penyerang berpotensi untuk mengeluarkan frasa mnemonik yang digunakan untuk memulihkan dompet.
“Anda mempunyai CPU dan elemen selamat. Elemen selamat ialah tempat anda menyimpan kunci kripto anda. Sekarang, biasanya, komunikasi disulitkan antara CPU, di mana pemprosesan dilakukan, dan elemen selamat, "jelas Michaud.
“Nampaknya ia tidak direka untuk berbuat demikian dalam kes ini. Jadi apa yang anda boleh lakukan ialah meletakkan alat di tengah-tengah yang memantau komunikasi dan memintas mereka dan kemudian menyuntik arahan mereka sendiri, "katanya, sambil menambah:
“Kami melakukan itu di mana ia kemudian memberitahu elemen selamat ia berada dalam mod kilang dan kami boleh mengeluarkan mnemonik anda, iaitu wang anda dalam kripto.”
Bagaimanapun, dalam satu kenyataan 10 Feb, OneKey berkata ia sudah pun ditangani kecacatan keselamatan yang dikenal pasti oleh Unciphered, dengan menyatakan bahawa pasukan perkakasannya telah mengemas kini patch keselamatan "awal tahun ini" tanpa "sesiapa pun terjejas" dan bahawa "Semua kelemahan yang didedahkan telah atau sedang diperbaiki."
Respons Kami terhadap Laporan Pembaikan Keselamatan Terkini https://t.co/Dp9nNp1D0U
— Dompet Sumber Terbuka OneKey (@OneKeyHQ) Februari 10, 2023
"Yang berkata, dengan frasa kata laluan dan amalan keselamatan asas, walaupun serangan fizikal yang didedahkan oleh Unciphered tidak akan menjejaskan pengguna OneKey."
Syarikat itu seterusnya menekankan bahawa walaupun kelemahan itu membimbangkan, vektor serangan yang dikenal pasti oleh Unciphered tidak boleh digunakan dari jauh dan memerlukan "pembukaan peranti dan akses fizikal melalui peranti FPGA khusus dalam makmal untuk dilaksanakan."
Menurut OneKey, semasa surat-menyurat dengan Unciphered, ia telah didedahkan bahawa dompet lain telah didapati mempunyai masalah yang sama.
"Kami juga membayar hadiah Tidak Disiplin untuk berterima kasih kepada mereka atas sumbangan mereka kepada keselamatan OneKey," kata OneKey.
Berkaitan: 'Menghantui saya hingga ke hari ini' — Projek Crypto digodam untuk $4J di lobi hotel
Dalam catatan blognya, OneKey telah berkata ia sudah bersusah payah untuk memastikan keselamatan penggunanya, termasuk melindungi mereka daripada serangan rantaian bekalan — apabila penggodam menggantikan dompet tulen dengan yang dikawal oleh mereka.
Langkah OneKey termasuk pembungkusan kalis gangguan untuk penghantaran dan penggunaan pembekal perkhidmatan rantaian bekalan daripada Apple untuk memastikan pengurusan keselamatan rantaian bekalan yang ketat.
Pada masa hadapan, mereka berharap dapat melaksanakan pengesahan onboard dan menaik taraf dompet perkakasan yang lebih baharu dengan komponen keselamatan peringkat lebih tinggi.
OneKey menulis bahawa yang utama tujuan dompet perkakasan sentiasa melindungi wang pengguna daripada serangan perisian hasad, virus komputer dan bahaya jauh lain, tetapi malangnya, tiada apa yang boleh 100% selamat.
“Apabila kita melihat keseluruhan proses pembuatan dompet perkakasan, daripada kristal silikon kepada kod cip, daripada perisian tegar kepada perisian, adalah selamat untuk mengatakan bahawa dengan wang, masa dan sumber yang mencukupi, sebarang halangan perkakasan boleh dilanggar, walaupun ia adalah senjata nuklear sistem kawalan."
Sumber: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second