OneKey, eng Firma déi kryptografesch Hardware Portemonnaien ubitt, huet gesot datt et schonn e Feeler an hirer Firmware gepatch huet, déi et méiglech gemaach huet fir eng vu senge Hardware Portemonnaien an ënner enger Sekonn kompromittéiert ze ginn.
Unciphered, eng Firma am Beräich vun der Cybersécherheet, sot an engem Video deen den 10. Februar op YouTube eropgeluede gouf, datt et e Mëttel entdeckt huet fir en OneKey Mini "opzebriechen" andeems en "Massive grousse Feeler" profitéiert an se ausnotzt.
Et war méiglech, laut dem Eric Michaud, e Partner bei Unciphered, den OneKey Mini op "Fabréckmodus" zréckzebréngen an de Sécherheetspin ëmzegoen andeems den Apparat ofgebaut gëtt an d'Kodéierung asetzt. Dëst erlaabt e potenziellen Ugräifer d'mnemonesch Phrase ze läschen, déi benotzt gëtt fir e Portemonnaie ze recuperéieren. Dëst gouf méiglech gemaach andeems den Apparat an de "Fabréckmodus" zréckgeet.
"Dir hutt d'Zentralveraarbechtungseenheet souwéi d'Sécherheetselement. Är kryptografesch Schlësselen ginn ëmmer am sécheren Element gespäichert. De Michaud bemierkt datt an enger typescher Situatioun d'Verbindungen tëscht der Zentralveraarbechtungseenheet (CPU), wou d'Veraarbechtung gemaach gëtt, an dem séchere Element verschlësselt sinn.
"Ma, wéi et sech erausstellt, an dësem speziellen Fall, ass et net gebaut fir dat ze maachen. "Wat Dir maache kënnt ass en Tool an der Mëtt ze setzen, dat d'Kommunikatioun iwwerwaacht an se offangen an dann hir eege Kommandoen injizéiert," sot hien, a bäigefüügt: "Dat gesot, mat Passwuert Sätze a Basis Sécherheetspraktiken, och kierperlech Attacke verëffentlecht vun Unziphered wäert OneKey Benotzer net beaflossen.
D'Firma huet weider ënnersträicht datt trotz der Tatsaach datt d'Schwachheet betrëfft, den Attackvektor, deen vun Unciphered entdeckt gouf, net op afstand benotzt ka ginn. Amplaz erfuerdert et "Demontage vum Apparat a kierperlechen Zougang duerch en dedizéierten FPGA Apparat am Labo" fir méiglech auszeféieren.
Laut OneKey, no Diskussioun mat Unciphered, gouf verroden datt aner Portemonnaien ähnlech Schwieregkeeten fonnt hunn. Dëst gouf bekanntginn wann et entdeckt gouf datt aner Portemonnaien datselwecht Thema haten.
OneKey sot datt si Unciphered mat Bounties kompenséiert hunn als e Wee fir Dankbarkeet fir hir Bäiträg zu der Sécherheet vun der Firma auszedrécken.
OneKey huet an engem Blog Post gesot datt et scho bedeitend Virsiichtsmoossname geholl huet fir d'Sécherheet vu senge Clienten ze sécheren. Dës Virsiichtsmoossname enthalen de Schutz vu Clienten géint Versuergungskettenattacken, déi optrieden wann en Hacker e richtege Portemonnaie ersetzt mat engem deen ënner hirer Kontroll ass.
Tamper-proof Verpackung fir Sendunge war ee vun de Schrëtt, déi vun OneKey geholl goufen, zesumme mat der Notzung vun Apple seng eege Versuergungskettendéngschtleeschter fir den Zweck fir eng enk Versuergungskette Sécherheetsmanagement ze garantéieren.
Si hunn Striewe fir Onboard Authentifikatioun an der net ze wäiter Zukunft ze addéieren an méi rezent Hardware Portemonnaie mat méi héije Sécherheetskomponenten ze aktualiséieren.
Laut deem wat OneKey gesot huet, ass d'Haaptziel vun Hardware Portemonnaien ëmmer d'Finanzverméigen vun de Benotzer vu Cyberattacken, Computervirusen an aner potenziell Geforen ze schützen; trotzdem, leider, näischt kann komplett sécher ginn.
"Wa mir de ganze Fabrikatiounsprozess vun Hardware Portemonnaie kucken, vu Siliziumkristalle bis Chipcode, vu Firmware bis Software, et ass sécher ze soen datt all Hardware Barrière mat genuch Geld, Zäit a Ressourcen duerchbrach ka ginn; och wann et en Atomwaffe Kontrollsystem ass. "Wa mir de ganze Fabrikatiounsprozess vun Hardware Portemonnaien kucken, vu Siliziumkristalle bis Chipcode, vu Firmware bis Software,"
Quell: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked