OneKey Crypto hardware zorro hornitzaileak dio dagoeneko bere firmwarearen ahultasun bati aurre egin diola bere hardware-zorro bat segundo batean hackeatzea ahalbidetzen zuena.
Bideo bat YouTuben posted Otsailaren 10ean, Unciphered zibersegurtasun startup-ek OneKey Mini bat "irekitzeko" aukera ematen dien "Ahultasun kritiko masiboa" ustiatzeko modu bat asmatu zutela erakutsi zuen.
Eric Michaud-en, Unciphered-eko bazkidearen arabera, gailua desmuntatu eta kodeketa sartuz, posible zen OneKey Mini "fabrika modura" itzultzea eta segurtasun-pin-a saihestea, balizko erasotzaile batek bat berreskuratzeko erabilitako esaldi mnemonikoa kentzeko aukera emanez. zorroa.
“PUZa eta elementu segurua dituzu. Elementu segurua zure kriptografia-gakoak gordetzen dituzun lekuan dago. Orain, normalean, komunikazioak PUZaren, non prozesatzea egiten den, eta elementu seguruaren artean zifratzen dira”, azaldu du Michaudek.
«Beno, ikusten da kasu honetan ez zela horretarako diseinatuta. Beraz, egin litekeena da komunikazioak kontrolatzen dituen eta haiek atzematen dituen tresna bat erdian jartzea eta gero beren komandoak injektatzen dituena ", esan zuen, eta gaineratu zuen:
"Hori egin dugu elementu seguruari fabrika moduan dagoela esaten dion eta zure mnemoteknikoak atera ditzakegu, hau da, zure dirua kriptoan".
Hala ere, otsailaren 10eko adierazpen batean, OneKey-k esan zuen jada bazela zuzenduta Unciphered-ek identifikatutako segurtasun-akatsa, bere hardware-taldeak segurtasun-adabakia "aurten hasieran" eguneratu zuela "inor kaltetu gabe" eta "aurkitutako ahultasun guztiak konpondu direla edo konponduta daudela" adierazi du.
Gure erantzuna azken segurtasun-konponketa-txostenei https://t.co/Dp9nNp1D0U
— OneKey Kode irekiko zorroa (@OneKeyHQ) Otsailaren 10, 2023
"Hori esanda, pasahitz esaldiekin eta oinarrizko segurtasun-praktikekin, Unciphered-ek ezagutarazitako eraso fisikoek ere ez dute OneKey-ko erabiltzaileei eragingo".
Gainera, konpainiak nabarmendu du ahultasuna kezkagarria den arren, Unciphered-ek identifikatutako eraso-bektorea ezin dela urrunetik erabili eta "gailua desmuntatzea eta sarbide fisikoa behar du laborategian FPGA gailu dedikatu baten bidez exekutatu ahal izateko".
OneKey-ren arabera, Unciphered-ekin izandako korrespondentzian, beste zorro batzuk izan zirela jakinarazi zen antzeko arazoak zituela aurkitu zen.
"Unciphered sariak ere ordaindu genituen OneKeyren segurtasunari egindako ekarpenengatik eskertzeko", esan zuen OneKey-k.
Bere blogeko argitalpenean, OneKey-k esan du dagoeneko min handia egin duela bere erabiltzaileen segurtasuna bermatzeko, haiek babesteko barne. hornikuntza-katearen erasoak — Hacker batek benetako zorro bat haiek kontrolatutako batekin ordezkatzen duenean.
OneKeyren neurrien artean, bidalketetarako manipulaziorik gabeko ontziak eta Appleko hornikuntza-katearen zerbitzu-hornitzaileak erabiltzea hornikuntza-katearen segurtasun-kudeaketa zorrotza bermatzeko.
Etorkizunean, barneko autentifikazioa ezartzea eta hardware-zorro berriagoak berritzea espero dute, goi-mailako segurtasun osagaiekin.
OneKey-k idatzi zuen nagusia hardware-zorroen helburua beti izan da erabiltzaileen dirua malware erasoetatik, birus informatikoetatik eta urruneko beste arriskuetatik babestea, baina, zoritxarrez, ezer ezin da %100ean seguru egon.
"Hardware-zorroaren fabrikazio-prozesu osoa aztertzen dugunean, silizio kristaletatik txip-koderaino, firmwaretik softwarera, seguru esan daiteke nahikoa diru, denbora eta baliabiderekin, edozein hardware-hesi urratu daitekeela, nahiz eta arma nuklearra izan. kontrol sistema”.
Iturria: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second