OneKey, компанія, яка надає криптографічні апаратні гаманці, заявила, що вона вже виправила недолік у своїй мікропрограмі, через який один із апаратних гаманців був скомпрометований менш ніж за одну секунду.
Компанія Unciphered, яка займається кібербезпекою, заявила у відео, яке було завантажено на YouTube 10 лютого, що вона знайшла спосіб «зламати» OneKey Mini, скориставшись «великим недоліком» і використавши його.
За словами Еріка Мішо, партнера Unciphered, можна було повернути OneKey Mini до «заводського режиму» й обійти захисний штифт, розібравши пристрій і вставивши код. Це дозволить потенційному зловмиснику видалити мнемонічну фразу, яка використовується для відновлення гаманця. Це стало можливим завдяки поверненню пристрою в «заводський режим».
«У вас є центральний процесор, а також елемент захисту. Ваші криптографічні ключі завжди зберігатимуться в захищеному елементі. Мішо зазначив, що в типовій ситуації з’єднання між центральним процесором (CPU), де виконується обробка, і захищеним елементом зашифровані.
«Ну, як виявилося, у цьому конкретному випадку він не був створений для цього. «Те, що ви можете зробити, це встановити посередині інструмент, який відстежує комунікації та перехоплює їх, а потім вводить свої власні команди», — сказав він, додавши: «Зважаючи на це, із фразами паролів і базовими методами безпеки, навіть фізичні атаки, розкриті Unciphered не вплине на користувачів OneKey».
Далі компанія підкреслила, що, незважаючи на те, що вразливість викликає занепокоєння, вектор атаки, який виявив Unciphered, не можна використовувати віддалено. Натомість, для того, щоб можна було виконати, потрібно «розібрати пристрій і отримати фізичний доступ через спеціальний пристрій FPGA у лабораторії».
Відповідно до OneKey, після обговорення з Unciphered було виявлено, що інші гаманці мають подібні труднощі. Це стало відомо, коли з’ясувалося, що в інших гаманцях така ж проблема.
У OneKey заявили, що вони компенсували Uncipherd винагородами як спосіб вдячності за їхній внесок у безпеку компанії.
У дописі в блозі компанія OneKey заявила, що вже вжила значних заходів для забезпечення безпеки своїх клієнтів. Ці запобіжні заходи включають захист клієнтів від нападів на ланцюг поставок, які відбуваються, коли хакер замінює справжній гаманець на той, який знаходиться під його контролем.
Захищене від несанкціонованого втручання пакування для відправлень було одним із кроків, здійснених OneKey, разом із використанням власних постачальників послуг ланцюга поставок Apple з метою забезпечення суворого управління безпекою ланцюга постачання.
Вони мають намір додати вбудовану автентифікацію в недалекому майбутньому та оновити новіші апаратні гаманці компонентами безпеки вищого рівня.
За словами OneKey, основною метою апаратних гаманців завжди був захист фінансових активів користувачів від кібератак, комп’ютерних вірусів та інших потенційних загроз; однак, на жаль, ніщо не може бути повністю безпечним.
«Коли ми дивимося на весь процес виробництва апаратних гаманців, від кремнієвих кристалів до чіп-коду, від прошивки до програмне забезпечення, можна з упевненістю сказати, що будь-який апаратний бар’єр можна подолати за достатньо грошей, часу та ресурсів; навіть якщо це система управління ядерною зброєю». «Коли ми дивимося на весь процес виробництва апаратних гаманців, від кремнієвих кристалів до чіп-коду, від прошивки до програмного забезпечення»,
Джерело: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked