OneKey говорит, что он исправил недостаток, который забил его аппаратный кошелек за 1 секунду

Поставщик крипто -аппаратного кошелька OneKey заявляет, что уже рассмотрел уязвимость в своей прошивке, которая позволила взломать один из своих аппаратных кошельков за одну секунду.

10 февраля видео на YouTube, опубликованное в стартапе кибербезопасности, не было показано, что они нашли способ использовать «массивную критическую уязвимость», чтобы «открыть» Mini OneKey.

По словам Эрика Мишо, партнера в безрифрованном, разобрав устройство и вставив кодирование, можно было вернуть Mini Onekey в «фабричный режим» и обойти штифт безопасности, позволив потенциальному злоумышленнику удалить мнемоническую фразу, используемую для восстановления для восстановления для восстановления для восстановления для восстановления для восстановления для восстановления для восстановления кошелек.

«У вас есть процессор и безопасный элемент. Безопасный элемент - это то, где вы сохраняете свои крипто -клавиши. Теперь, как правило, связи зашифрованы между процессором, где выполняется обработка, и безопасным элементом», - объяснил Мишо.

«Ну, оказывается, он не был разработан для этого в этом случае. Итак, что вы могли бы сделать, так это поместить инструмент в середине, который контролирует связь и перехватывает их, а затем вводит свои собственные команды», - сказал он, добавив:

«Мы сделали это, когда он затем сообщает о безопасном элементе в режиме фабрики, и мы можем вывести вашу мнемонику, что является вашим денег в крипто».

Однако в заявлении от 10 февраля Onekey заявила, что уже рассмотрел недостаток безопасности, определенный безотчетеном были или были исправлены ».

Наш ответ на недавние отчеты по исправлению безопасности https://t.co/dp9nnp1d0u

- OneKey Oneck Sounk Wallet (@onekeyhq) 10 февраля 2023 г.

«Тем не менее, с фразами пароля и основными методами безопасности даже физические атаки, раскрытые неразританными, не повлияют на пользователей OneKey».

Компания также подчеркнула, что, хотя уязвимость была касалась, вектор атаки, идентифицированный неразританным, не может быть достигнут удаленно и требует «разборки устройства и физического доступа через выделенное устройство FPGA в лаборатории, чтобы выполнить».

Согласно OneKey, во время переписки с неразританным, было обнаружено, что другие кошельки имеют аналогичные проблемы.

«Мы также заплатили нереаправленные награды, чтобы поблагодарить их за их вклад в безопасность OneKeys», - сказал Онеки.

В своем сообщении в блоге Onekey заявила, что уже сталкивались с большими усилиями, чтобы обеспечить безопасность своих пользователей, включая защиту их от атак цепочки поставок - когда хакер заменяет подлинный кошелек на один контролируемый ими, конкретная область сосредоточенности.

Меры OneKey включали защищенную упаковку для поставки и использование поставщиков услуг цепочки поставок из Apple для обеспечения строгого управления безопасностью цепочки поставок.

В будущем они надеются внедрить бортовую аутентификацию и обновить новые аппаратные кошельки с помощью компонентов безопасности более высокого уровня.

OneKey отметил, что основная цель аппаратных кошельков всегда заключалась в защите денег пользователей от атак вредоносных программ, компьютерных вирусов и других удаленных опасностей, но признал, что, к сожалению, ничто не может быть на 100% безопасным.

«Когда мы смотрим на весь процесс производства аппаратного кошелька, от кристаллов кремния до кода чипа, от прошивки до программного обеспечения, можно с уверенностью сказать, что с достаточным количеством денег, времени и ресурсов можно нарушить любой аппаратный барьер, даже если это ядерное оружие. система контроля."