OneKey, компания, которая предоставляет криптографические аппаратные кошельки, заявила, что она уже исправила ошибку в своей прошивке, из-за которой один из ее аппаратных кошельков был скомпрометирован менее чем за одну секунду.
Unciphered, фирма в области кибербезопасности, заявила в видео, которое было загружено на YouTube 10 февраля, что она обнаружила способ «взломать» OneKey Mini, воспользовавшись «огромной серьезной уязвимостью» и воспользовавшись ею.
По словам Эрика Мишо, партнера Unciphered, можно было вернуть OneKey Mini в «заводской режим» и обойти защитный штифт, разобрав устройство и вставив кодировку. Это позволит потенциальному злоумышленнику удалить мнемоническую фразу, которая используется для восстановления кошелька. Это стало возможным благодаря возвращению устройства в «заводской режим».
«У вас есть центральный процессор, а также элемент безопасности. Ваши криптографические ключи всегда будут храниться в защищенном элементе. Мишо отметил, что в типичной ситуации соединения между центральным процессором (ЦП), где выполняется обработка, и безопасным элементом зашифрованы.
«Ну, как оказалось, в данном конкретном случае он не был создан для этого. «Что вы могли бы сделать, так это поместить инструмент посередине, который отслеживает сообщения и перехватывает их, а затем вводит свои собственные команды», — сказал он, добавив: Unciphered не повлияет на пользователей OneKey».
Далее компания подчеркнула, что, несмотря на то, что уязвимость вызывает беспокойство, вектор атаки, обнаруженный Unciphered, нельзя использовать удаленно. Вместо этого требуется «разборка устройства и физический доступ через специальное устройство FPGA в лаборатории», чтобы его можно было выполнить.
Согласно OneKey, после обсуждения с Unciphered стало известно, что у других кошельков были обнаружены аналогичные проблемы. Об этом стало известно, когда обнаружилось, что у других кошельков была такая же проблема.
OneKey заявили, что они выплатили Unciphered вознаграждение в знак благодарности за их вклад в безопасность компании.
OneKey сообщила в своем блоге, что уже приняла серьезные меры предосторожности для обеспечения безопасности своих клиентов. Эти меры предосторожности включают защиту клиентов от атак на цепочку поставок, которые происходят, когда хакер заменяет реальный кошелек на тот, который находится под их контролем.
Одним из шагов, предпринятых OneKey, стала защита от несанкционированного доступа к упаковке грузов, наряду с использованием собственных поставщиков услуг цепочки поставок Apple для обеспечения строгого управления безопасностью цепочки поставок.
У них есть стремление добавить встроенную аутентификацию в недалеком будущем и обновить более современные аппаратные кошельки компонентами безопасности более высокого уровня.
Согласно тому, что было сказано OneKey, основной целью аппаратных кошельков всегда была защита финансовых активов пользователей от кибератак, компьютерных вирусов и других потенциальных угроз; тем не менее, к сожалению, ничто не может быть полностью безопасным.
«Если мы посмотрим на весь процесс производства аппаратных кошельков, от кристаллов кремния до кода чипа, от прошивки до программное обеспечение, можно с уверенностью сказать, что любой аппаратный барьер можно преодолеть при наличии достаточного количества денег, времени и ресурсов; даже если это система управления ядерным оружием». «Если мы посмотрим на весь процесс производства аппаратных кошельков, от кремниевых кристаллов до кода чипа, от прошивки до программного обеспечения»,
Источник: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked.