暗号ハードウェア ウォレット プロバイダーの OneKey は、同社のハードウェア ウォレットの XNUMX つが XNUMX 秒以内にハッキングされる可能性があるファームウェアの脆弱性に既に対処したと述べています。
YouTube の動画 掲示 10 月 XNUMX 日、サイバーセキュリティ スタートアップの Unciphered は、OneKey Mini を「クラック オープン」できる「大規模な重大な脆弱性」を悪用する方法を発見したことを明らかにしました。
Unciphered のパートナーである Eric Michaud 氏によると、デバイスを分解してコーディングを挿入することで、OneKey Mini を「工場出荷時のモード」に戻し、セキュリティ ピンをバイパスすることができました。財布。
「CPU とセキュア エレメントがあります。 セキュア エレメントは、暗号鍵を保持する場所です。 現在、通常、通信は、処理が行われる CPU とセキュア エレメントの間で暗号化されます」と Michaud 氏は説明します。
「この場合、そうするように設計されていないことがわかりました。 したがって、通信を監視して傍受し、独自のコマンドを挿入するツールを中間に配置することができます」と彼は言い、次のように付け加えました。
「セキュアエレメントにファクトリーモードであることを伝え、暗号化されたお金であるニーモニックを取り出すことができる場所でそれを行いました。」
ただし、10 月 XNUMX 日の声明で、OneKey は、すでに 対処する Unciphered によって特定されたセキュリティ上の欠陥は、同社のハードウェア チームが「今年初めに」セキュリティ パッチを更新したが、「誰も影響を受けていない」こと、および「開示されたすべての脆弱性が修正されている、または修正されている」ことを指摘しています。
最近のセキュリティ修正レポートへの対応 https://t.co/Dp9nNp1D0U
— OneKey オープン ソース ウォレット (@OneKeyHQ) 2023 年 2 月 10 日
「とはいえ、パスワード フレーズと基本的なセキュリティ プラクティスがあれば、Unciphered によって公開された物理的な攻撃でさえ、OneKey ユーザーに影響を与えることはありません。」
同社はさらに、脆弱性が懸念される一方で、Unciphered によって特定された攻撃ベクトルはリモートで使用できず、「デバイスを分解し、ラボで専用の FPGA デバイスを介して物理的にアクセスして実行できるようにする」必要があることを強調しました。
OneKey によると、Unciphered とのやり取りの中で、他のウォレットが 同様の問題があることが判明.
「また、OneKey のセキュリティへの貢献に感謝するために Unciphered 報奨金を支払いました」と OneKey は述べています。
関連する 「今日まで私を悩ませている」—ホテルのロビーで暗号化プロジェクトが4万ドルでハッキングされた
ブログ投稿で、OneKey はユーザーのセキュリティを確保するために多大な努力を払ってきたと述べています。 サプライチェーン攻撃 — ハッカーが本物のウォレットを彼らが管理するものに交換したとき。
OneKey の対策には、配送用の改ざん防止パッケージと、Apple のサプライ チェーン サービス プロバイダーの使用が含まれており、厳格なサプライ チェーン セキュリティ管理を確保しています。
将来的には、オンボード認証を実装し、新しいハードウェア ウォレットをより高いレベルのセキュリティ コンポーネントでアップグレードしたいと考えています。
OneKey は、主な ハードウェアウォレットの目的 マルウェア攻撃、コンピューター ウイルス、およびその他のリモートの危険からユーザーのお金を保護するために常に使用されてきましたが、残念ながら、100% 安全なものはありません。
「シリコンクリスタルからチップコード、ファームウェアからソフトウェアまで、ハードウェアウォレットの製造プロセス全体を見ると、たとえそれが核兵器であっても、十分な資金、時間、およびリソースがあれば、ハードウェアの障壁を破ることができると言っても過言ではありません。コントロールシステム。」
ソース: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second