טק

OneKey מטפל בפגיעות שאפשרה לפרוץ לארנק חומרה

02/14/2023
חדשות Ethereum של ביטקוין

OneKey, חברה המספקת ארנקי חומרה קריפטוגרפיים, אמרה שהיא כבר תיקנה פגם בקושחה שלה שאיפשר פגיעה באחד מארנקי החומרה שלה תוך פחות משנייה אחת.

Unciphered, חברה בתחום אבטחת הסייבר, אמרה בסרטון שהועלה ליוטיוב ב-10 בפברואר כי היא גילתה אמצעי "לפתוח" OneKey Mini על ידי ניצול "פגם גדול מסיבי" וניצולו.

ניתן היה, לדברי אריק מישו, שותף ב-Unciphered, להחזיר את ה-OneKey Mini ל"מצב מפעל" ולעקוף את סיכת האבטחה על ידי פירוק המכשיר והכנסת קידוד. זה יאפשר לתוקף פוטנציאלי להסיר את ביטוי המנמוני המשמש לשחזור ארנק. זה התאפשר על ידי החזרת המכשיר ל"מצב יצרן".

"יש לך את יחידת העיבוד המרכזית וגם את אלמנט האבטחה. מפתחות ההצפנה שלך תמיד יאוחסנו באלמנט המאובטח. מישו ציין כי במצב טיפוסי, מוצפנים החיבורים בין יחידת העיבוד המרכזית (CPU), שבה מתבצע העיבוד, לבין האלמנט המאובטח.

תמונה

"ובכן, כפי שמתברר, במקרה הספציפי הזה, הוא לא נבנה לעשות זאת. "מה שאתה יכול לעשות זה לשים כלי באמצע שמנטר את התקשורת ומיירט אותן ואז מזריק פקודות משלהם", אמר והוסיף: "זה נאמר, עם ביטויי סיסמה ונוהלי אבטחה בסיסיים, אפילו התקפות פיזיות שנחשפו על ידי Unciphered לא ישפיע על משתמשי OneKey." 

החברה המשיכה והדגישה כי למרות העובדה שהפגיעות נוגעת, לא ניתן להשתמש בוקטור ההתקפה שהתגלה על ידי Unciphered מרחוק. במקום זאת, זה מצריך "פירוק של המכשיר וגישה פיזית באמצעות מכשיר FPGA ייעודי במעבדה" על מנת שיהיה אפשרי לביצוע.

לפי OneKey, לאחר דיון עם Unciphered, נחשף כי שארנקים אחרים נתקלו בקשיים דומים. הדבר נחשף כאשר התגלה כי לארנקים אחרים הייתה אותה בעיה.

OneKey אמרו שהם פיצו את Unciphered בפרסים כדרך להביע הכרת תודה על תרומתם לאבטחת החברה.

OneKey אמרה בפוסט בבלוג שהיא כבר נקטה באמצעי זהירות משמעותיים כדי להבטיח את שלומם של לקוחותיה. אמצעי הזהירות הללו כוללים הגנה על לקוחות מפני תקיפות בשרשרת האספקה, המתרחשות כאשר האקר מחליף ארנק אמיתי בארנק שנמצא בשליטתם.

אריזה חסינת פגיעה למשלוחים הייתה אחד הצעדים שנקטה OneKey, יחד עם השימוש בספקי שירותי שרשרת האספקה ​​של אפל במטרה להבטיח ניהול אבטחה הדוק של שרשרת האספקה.

יש להם שאיפות להוסיף אימות מובנה בעתיד הלא רחוק ולעדכן ארנקי חומרה עדכניים יותר עם רכיבי אבטחה ברמה גבוהה יותר.

לפי מה שנאמר על ידי OneKey, המטרה העיקרית של ארנקי חומרה הייתה תמיד להגן על הנכסים הפיננסיים של המשתמשים מפני התקפות סייבר, וירוסי מחשב ואיומים פוטנציאליים אחרים; עם זאת, למרבה הצער, שום דבר לא יכול להיות בטוח לחלוטין.

"כשאנחנו מסתכלים על כל תהליך הייצור של ארנקי חומרה, מגבישי סיליקון ועד קוד שבב, מקושחה ועד תוֹכנָה, זה בטוח לומר שניתן לפרוץ כל מחסום חומרה עם מספיק כסף, זמן ומשאבים; גם אם זו מערכת בקרת נשק גרעיני". "כשאנחנו מסתכלים על כל תהליך הייצור של ארנקי חומרה, מגבישי סיליקון ועד קוד שבב, מקושחה ועד תוכנה."

מקור: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked