加密貨幣硬件錢包提供商OneKey 表示,它已經解決了其固件中的一個漏洞,該漏洞允許其一個硬件錢包在一秒鐘內被黑客入侵。
2 月10 日,網絡安全初創公司Unciphered 在YouTube 上發布的一段視頻顯示,他們找到了一種利用“大規模嚴重漏洞”以“破解”OneKey Mini 的方法。
根據Unciphered 的合作夥伴Eric Michaud 的說法,通過拆解設備並插入編碼,可以將OneKey Mini 恢復為“出廠模式”並繞過安全密碼,從而允許潛在的攻擊者刪除用於恢復密碼的助記詞。錢包。
“你有CPU 和安全元件。安全元件是你保存加密貨幣密鑰的地方。現在,通常情況下,完成處理的CPU 和安全元件之間的通信是加密的,”Michaud 解釋道。
“好吧,事實證明在這種情況下它並不是為了這樣做而設計的。所以你可以做的是在中間放置一個工具來監控通信並攔截它們,然後注入它們自己的命令,”他說,並補充說:
“我們這樣做了,然後它告訴安全元件它處於工廠模式,我們可以取出你的助記符,這是你的加密貨幣。”
然而,在2 月10 日的一份聲明中,OneKey 表示它已經解決了Unciphered 發現的安全漏洞,並指出其硬件團隊“今年早些時候”更新了安全補丁,沒有“任何人受到影響”,並且“所有披露的漏洞已經或正在修復。”
我們對最近的安全修復報告的回應https://t.co/Dp9nNp1D0U
— OneKey 開源錢包(@OneKeyHQ) 2023 年2 月10 日
“也就是說,有了密碼短語和基本的安全措施,即使是Unciphered 披露的物理攻擊也不會影響OneKey 用戶。”
該公司進一步強調,雖然該漏洞令人擔憂,但Unciphered 識別的攻擊向量無法遠程實現,需要“拆卸設備並通過實驗室中的專用FPGA 設備進行物理訪問才能執行”。
據OneKey 稱,在與Unciphered 的通信中,發現其他錢包也存在類似問題。
“我們還支付了未加密的獎金,以感謝他們對OneKey 安全性的貢獻,”OneKey 說。
“直到今天都困擾著我”——加密貨幣項目在酒店大堂遭到黑客攻擊,價值400 萬美元
OneKey 在其博客文章中表示,它已經竭盡全力確保其用戶的安全,包括保護他們免受供應鏈攻擊——當黑客用他們控制的錢包替換真正的錢包時,這是一個特定的重點領域。
OneKey 的措施包括交付時採用防篡改盤點,並使用Apple 的供應鏈服務提供商來確保嚴格的供應鏈安全管理。
未來,他們希望實現板載身份驗證,並使用更高級別的安全組件升級更新的硬件錢包。
OneKey 指出,硬件錢包的主要目的一直是保護用戶的資金免受惡意軟件攻擊、計算機病毒和其他遠程危險,但不幸的是,沒有什麼是100% 安全的。
“當我們審視整個硬件錢包製造過程時,從矽晶體到芯片代碼,從固件到軟件,可以肯定地說,只要有足夠的資金、時間和資源,任何硬件壁壘都可以被突破,即使它是核武器控制系統。”
資訊來源:由0x資訊編譯自COINTELEGRAPH。版權歸作者Stephen Katte所有,未經許可,不得轉載