提供加密硬件錢包的公司 OneKey 表示,它已經修補了其固件中的一個漏洞,該漏洞可能導致其硬件錢包之一在一秒鐘內遭到破壞。
網絡安全領域的一家公司 Unciphered 在 10 月 XNUMX 日上傳到 YouTube 的一段視頻中表示,它已經找到了一種利用“重大重大缺陷”並利用它來“破解”OneKey Mini 的方法。
根據 Unciphered 的合夥人 Eric Michaud 的說法,可以將 OneKey Mini 恢復到“工廠模式”,並通過拆卸設備和插入編碼來繞過安全密碼。 這將允許潛在的攻擊者刪除用於恢復錢包的助記詞。 這是通過將設備返回到“工廠模式”而實現的。
“你有中央處理器和安全元件。 您的加密密鑰將始終存儲在安全元件中。 Michaud 指出,在典型情況下,中央處理器 (CPU) 和安全元件之間的連接是加密的,中央處理器是處理的地方。
“好吧,事實證明,在這個特定的例子中,它並不是為了這樣做而建造的。 “你可以做的是在中間放置一個工具來監控通信並攔截它們,然後注入他們自己的命令,”他說,並補充說:“話雖如此,有了密碼短語和基本的安全實踐,甚至是物理攻擊未加密不會影響 OneKey 用戶。”
該公司繼續強調,儘管該漏洞令人擔憂,但 Unciphered 發現的攻擊向量無法遠程使用。 相反,它需要“通過實驗室中的專用 FPGA 設備拆卸設備和物理訪問”才能執行。
據 OneKey 稱,在與 Unciphered 討論後,發現其他錢包也存在類似問題。 這是在發現其他錢包也有同樣問題時披露的。
OneKey 表示,他們已經用賞金補償了 Unciphered,以表達對他們對公司安全所做貢獻的感謝。
OneKey 在一篇博客文章中表示,它已經採取了重要的預防措施來確保其客戶的安全。 這些預防措施包括保護客戶免受供應鏈攻擊,這種攻擊發生在黑客用他們控制的錢包替換真實錢包時。
出貨防篡改包裝是 OneKey 採取的措施之一,同時使用 Apple 自己的供應鏈服務提供商,以確保嚴格的供應鏈安全管理。
他們希望在不久的將來添加機載身份驗證,並使用更高級別的安全組件更新最新的硬件錢包。
據OneKey介紹,硬件錢包的首要目標一直是保護用戶的金融資產免受網絡攻擊、計算機病毒和其他潛在威脅; 然而,遺憾的是,沒有什麼是絕對安全的。
“當我們審視硬件錢包的整個製造過程時,從矽晶體到芯片代碼,從固件到 軟體,可以肯定地說,只要有足夠的金錢、時間和資源,就可以突破任何硬件障礙; 即使它是一個核武器控制系統。” “當我們審視硬件錢包的整個製造過程時,從矽晶體到芯片代碼,從固件到軟件,”
來源:https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked