提供加密硬件钱包的公司 OneKey 表示,它已经修补了其固件中的一个漏洞,该漏洞可能导致其硬件钱包之一在一秒钟内遭到破坏。
网络安全领域的一家公司 Unciphered 在 10 月 XNUMX 日上传到 YouTube 的一段视频中表示,它已经找到了一种利用“重大重大缺陷”并利用它来“破解”OneKey Mini 的方法。
根据 Unciphered 的合伙人 Eric Michaud 的说法,可以将 OneKey Mini 恢复到“工厂模式”,并通过拆卸设备和插入编码来绕过安全密码。 这将允许潜在的攻击者删除用于恢复钱包的助记词。 这是通过将设备返回到“工厂模式”而实现的。
“你有中央处理器和安全元件。 您的加密密钥将始终存储在安全元件中。 Michaud 指出,在典型情况下,中央处理器 (CPU) 和安全元件之间的连接是加密的,中央处理器是处理的地方。
“好吧,事实证明,在这个特定的例子中,它并不是为了这样做而建造的。 “你可以做的是在中间放置一个工具来监控通信并拦截它们,然后注入他们自己的命令,”他说,并补充说:“话虽如此,有了密码短语和基本的安全实践,甚至是物理攻击未加密不会影响 OneKey 用户。”
该公司继续强调,尽管该漏洞令人担忧,但 Unciphered 发现的攻击向量无法远程使用。 相反,它需要“通过实验室中的专用 FPGA 设备拆卸设备和物理访问”才能执行。
据 OneKey 称,在与 Unciphered 讨论后,发现其他钱包也存在类似问题。 这是在发现其他钱包也有同样问题时披露的。
OneKey 表示,他们已经用赏金补偿了 Unciphered,以表达对他们对公司安全所做贡献的感谢。
OneKey 在一篇博客文章中表示,它已经采取了重要的预防措施来确保其客户的安全。 这些预防措施包括保护客户免受供应链攻击,这种攻击发生在黑客用他们控制的钱包替换真实钱包时。
出货防篡改包装是 OneKey 采取的措施之一,同时使用 Apple 自己的供应链服务提供商,以确保严格的供应链安全管理。
他们希望在不久的将来添加机载身份验证,并使用更高级别的安全组件更新最新的硬件钱包。
据OneKey介绍,硬件钱包的首要目标一直是保护用户的金融资产免受网络攻击、计算机病毒和其他潜在威胁; 然而,遗憾的是,没有什么是绝对安全的。
“当我们审视硬件钱包的整个制造过程时,从硅晶体到芯片代码,从固件到 软件,可以肯定地说,只要有足够的金钱、时间和资源,就可以突破任何硬件障碍; 即使它是一个核武器控制系统。” “当我们审视硬件钱包的整个制造过程时,从硅晶体到芯片代码,从固件到软件,”
来源:https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked