OneKey, een bedrijf dat cryptografische hardware-wallets levert, heeft gezegd dat het al een fout in zijn firmware heeft gepatcht waardoor een van zijn hardware-wallets binnen een seconde kon worden gecompromitteerd.
Unciphered, een bedrijf op het gebied van cyberbeveiliging, zei in een video die op 10 februari op YouTube werd geüpload, dat het een manier heeft ontdekt om een OneKey Mini "open te breken" door gebruik te maken van een "enorme grote fout" en deze uit te buiten.
Volgens Eric Michaud, een partner bij Unciphered, was het mogelijk om de OneKey Mini terug te zetten naar "fabrieksmodus" en de veiligheidspin te omzeilen door het apparaat uit elkaar te halen en codering in te voeren. Hierdoor zou een potentiële aanvaller de geheugensteun kunnen verwijderen die wordt gebruikt om een portemonnee te herstellen. Dit werd mogelijk gemaakt door het apparaat terug te zetten naar de "fabrieksmodus".
“Je hebt zowel de centrale verwerkingseenheid als het beveiligingselement. Uw cryptografische sleutels worden altijd opgeslagen in het beveiligde element. Michaud merkte op dat in een typische situatie de verbindingen tussen de centrale verwerkingseenheid (CPU), waar de verwerking plaatsvindt, en het beveiligde element versleuteld zijn.
'Nou, het blijkt dat het in dit specifieke geval daar niet voor gebouwd is. "Wat je zou kunnen doen, is een tool in het midden plaatsen die de communicatie monitort en onderschept en vervolgens hun eigen commando's injecteert", zei hij, eraan toevoegend: "Dat gezegd hebbende, met wachtwoordzinnen en elementaire beveiligingspraktijken, zelfs fysieke aanvallen onthuld door Unciphered heeft geen invloed op OneKey-gebruikers.”
Het bedrijf benadrukte verder dat ondanks het feit dat de kwetsbaarheid zorgwekkend was, de door Unciphered ontdekte aanvalsvector niet op afstand kan worden gebruikt. In plaats daarvan is "demontage van het apparaat en fysieke toegang via een speciaal FPGA-apparaat in het lab" nodig om te kunnen worden uitgevoerd.
Volgens OneKey werd na overleg met Unciphered onthuld dat andere portemonnees vergelijkbare problemen hebben. Dit werd onthuld toen werd ontdekt dat andere portemonnees hetzelfde probleem hadden.
OneKey zei dat ze Unciphered hebben gecompenseerd met premies als een manier om dankbaarheid uit te drukken voor hun bijdragen aan de beveiliging van het bedrijf.
OneKey heeft in een blogpost gezegd dat het al belangrijke voorzorgsmaatregelen heeft genomen om de veiligheid van zijn klanten te waarborgen. Deze voorzorgsmaatregelen omvatten het beschermen van klanten tegen aanvallen op de toeleveringsketen, die plaatsvinden wanneer een hacker een echte portemonnee vervangt door een portemonnee die onder hun controle staat.
Een fraudebestendige verpakking voor zendingen is een van de stappen die OneKey heeft genomen, samen met het gebruik van Apple's eigen supply chain-serviceproviders om te zorgen voor een strak beveiligingsbeheer van de supply chain.
Ze hebben de ambitie om in de niet al te verre toekomst onboard-authenticatie toe te voegen en recentere hardware-wallets bij te werken met beveiligingscomponenten van een hoger niveau.
Volgens wat OneKey zei, is het primaire doel van hardware wallets altijd geweest om de financiële activa van gebruikers te beschermen tegen cyberaanvallen, computervirussen en andere potentiële bedreigingen; niettemin kan helaas niets volledig veilig zijn.
“Als we kijken naar het hele productieproces van hardware wallets, van siliciumkristallen tot chipcode, van firmware tot software, het is veilig om te zeggen dat elke hardwarebarrière kan worden doorbroken met voldoende geld, tijd en middelen; zelfs als het een controlesysteem voor kernwapens is.” “Als we kijken naar het hele productieproces van hardware wallets, van siliciumkristallen tot chipcode, van firmware tot software,”
Bron: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked