Провајдер крипто хардверских новчаника ОнеКеи каже да је већ решио рањивост у свом фирмверу која је омогућила да један од његових хардверских новчаника буде хакован у једној секунди.
Видео на Јутјубу постед 10. фебруара од стране сајбер-безбедносног стартапа Унципхеред је показао да су смислили начин да искористе „огромну критичну рањивост” која им је омогућила да „окрену” ОнеКеи Мини.
Према Ерику Мишоу, партнеру у Унципхеред-у, растављањем уређаја и убацивањем кодирања, било је могуће вратити ОнеКеи Мини у „фабрички режим“ и заобићи сигурносни пин, омогућавајући потенцијалном нападачу да уклони мнемоничку фразу која се користи за опоравак новчаник.
„Имате ЦПУ и сигурносни елемент. Безбедни елемент је место где чувате своје крипто кључеве. Сада, нормално, комуникација је шифрована између ЦПУ-а, где се врши обрада, и безбедног елемента“, објаснио је Мишо.
„Па испоставило се да у овом случају то није било пројектовано. Дакле, оно што бисте могли да урадите је да ставите алатку у средину која надгледа комуникације и пресреће их, а затим убацује сопствене команде“, рекао је он, додајући:
„То смо урадили тако што он онда каже безбедном елементу да је у фабричком режиму и можемо да извадимо вашу мнемонику, а то је ваш новац у крипто.
Међутим, у изјави од 10. фебруара, ОнеКеи је рекао да већ јесте адресирано безбедносни пропуст који је идентификовао Унципхеред, напомињући да је његов хардверски тим ажурирао безбедносну закрпу „раније ове године“ а да „нико није погођен“ и да су „све откривене рањивости поправљене или се поправљају“.
Наш одговор на недавне извештаје о безбедносним поправкама https://t.co/Dp9nNp1D0U
— ОнеКеи новчаник отвореног кода (@ОнеКеиХК) 10. фебруара 2023. године
„Ипак, са фразама лозинки и основним безбедносним праксама, чак ни физички напади које открије Унципхеред неће утицати на кориснике ОнеКеи-а.
Компанија је даље истакла да, иако је рањивост забрињавајућа, вектор напада који је идентификовао Унципхеред не може да се користи на даљину и да захтева „демонтажу уређаја и физички приступ преко наменског ФПГА уређаја у лабораторији да би било могуће извршити“.
Према ОнеКеи-у, током преписке са Унципхеред-ом, откривено је да су били и други новчаници утврђено да имају сличне проблеме.
„Такође смо платили Унципхеред награде да им се захвалимо за њихов допринос безбедности ОнеКеи-а“, рекао је ОнеКеи.
Релатед: 'Прогања ме до данас' — Крипто пројекат хакован за 4 милиона долара у предворју хотела
У свом блог посту, ОнеКеи је рекао да се већ потрудио да осигура сигурност својих корисника, укључујући њихову заштиту од napadi na lanac snabdevanja — када хакер замени прави новчаник оним који контролише.
ОнеКеи-ове мере су укључивале паковање заштићено од неовлашћеног приступа за испоруке и коришћење Аппле провајдера услуга у ланцу снабдевања како би се обезбедило строго управљање безбедношћу ланца снабдевања.
У будућности се надају да ће имплементирати уграђену аутентификацију и надоградити новије хардверске новчанике са сигурносним компонентама вишег нивоа.
ОнеКеи је написао да је главна намена хардверских новчаника је одувек била заштита новца корисника од напада малвера, компјутерских вируса и других даљинских опасности, али нажалост, ништа не може бити 100% безбедно.
„Када погледамо цео процес производње хардверског новчаника, од кристала силикона до чип кода, од фирмвера до софтвера, са довољно новца, времена и ресурса, свака хардверска баријера може бити пробијена, чак и ако је нуклеарно оружје контролни систем."
Извор: хттпс://цоинтелеграпх.цом/невс/онекеи-саис-ит-с-фикед-тхе-флав-тхат-гот-итс-хардваре-валлет-хацкед-ин-1-сецонд