OneKey บริษัทที่ให้บริการกระเป๋าเงินฮาร์ดแวร์เข้ารหัสกล่าวว่าได้แก้ไขข้อบกพร่องในเฟิร์มแวร์แล้ว ซึ่งทำให้เป็นไปได้ที่กระเป๋าเงินฮาร์ดแวร์ตัวใดตัวหนึ่งจะถูกโจมตีภายในหนึ่งวินาที
Unciphered บริษัทด้านความปลอดภัยทางไซเบอร์กล่าวในวิดีโอที่อัปโหลดบน YouTube เมื่อวันที่ 10 กุมภาพันธ์ว่า บริษัทได้ค้นพบวิธีการ "เปิด" OneKey Mini โดยใช้ประโยชน์จาก "ข้อบกพร่องขนาดใหญ่" และใช้ประโยชน์จากมัน
ตามข้อมูลของ Eric Michaud หุ้นส่วนของ Unciphered มีความเป็นไปได้ที่จะคืน OneKey Mini เป็น "โหมดโรงงาน" และข้ามรหัสความปลอดภัยโดยการถอดแยกชิ้นส่วนอุปกรณ์และใส่รหัส ซึ่งจะช่วยให้ผู้โจมตีสามารถลบวลีช่วยจำที่ใช้ในการกู้คืนกระเป๋าเงินได้ สิ่งนี้เกิดขึ้นได้โดยการคืนอุปกรณ์ให้เป็น "โหมดโรงงาน"
“คุณมีหน่วยประมวลผลกลางและองค์ประกอบความปลอดภัย คีย์เข้ารหัสของคุณจะถูกจัดเก็บไว้ในองค์ประกอบที่ปลอดภัยเสมอ Michaud สังเกตว่าในสถานการณ์ทั่วไป การเชื่อมต่อระหว่างหน่วยประมวลผลกลาง (CPU) ซึ่งเป็นที่ที่การประมวลผลเสร็จสิ้น และองค์ประกอบที่ปลอดภัยจะถูกเข้ารหัส
“ก็อย่างที่ปรากฎ ในกรณีนี้ มันไม่ได้ถูกสร้างมาเพื่อทำเช่นนั้น “สิ่งที่คุณทำได้คือวางเครื่องมือไว้ตรงกลางที่ตรวจสอบการสื่อสารและสกัดกั้นการสื่อสาร จากนั้นป้อนคำสั่งของพวกเขาเอง” เขากล่าว และเสริมว่า “ตามที่กล่าวมา ด้วยวลีรหัสผ่านและหลักปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน แม้กระทั่งการโจมตีทางกายภาพที่เปิดเผยโดย Unciphered จะไม่ส่งผลกระทบต่อผู้ใช้ OneKey”
บริษัทเน้นย้ำว่าแม้จะมีช่องโหว่ที่เกี่ยวข้อง แต่เวกเตอร์การโจมตีที่ค้นพบโดย Unciphered ไม่สามารถนำมาใช้จากระยะไกลได้ แต่จำเป็นต้อง "แยกชิ้นส่วนอุปกรณ์และการเข้าถึงทางกายภาพผ่านอุปกรณ์ FPGA เฉพาะในห้องปฏิบัติการ" เพื่อให้สามารถดำเนินการได้
จากข้อมูลของ OneKey หลังจากการพูดคุยกับ Unciphered มีการเปิดเผยว่าพบว่ากระเป๋าเงินอื่น ๆ มีปัญหาคล้ายกัน สิ่งนี้ถูกเปิดเผยเมื่อพบว่ากระเป๋าเงินอื่น ๆ มีปัญหาเดียวกัน
OneKey กล่าวว่าพวกเขาได้ชดเชยให้กับ Unciphered ด้วยเงินรางวัล เพื่อเป็นการแสดงความขอบคุณสำหรับการมีส่วนร่วมของพวกเขาในการรักษาความปลอดภัยของบริษัท
OneKey ได้กล่าวในบล็อกโพสต์ว่าได้ใช้มาตรการป้องกันที่สำคัญเพื่อความปลอดภัยของลูกค้าแล้ว ข้อควรระวังเหล่านี้รวมถึงการปกป้องลูกค้าจากการโจมตีในห่วงโซ่อุปทาน ซึ่งเกิดขึ้นเมื่อแฮ็กเกอร์แทนที่กระเป๋าเงินจริงด้วยกระเป๋าเงินที่อยู่ภายใต้การควบคุมของพวกเขา
บรรจุภัณฑ์ป้องกันการงัดแงะสำหรับการจัดส่งเป็นหนึ่งในขั้นตอนที่ดำเนินการโดย OneKey ควบคู่ไปกับการใช้ผู้ให้บริการซัพพลายเชนของ Apple เพื่อจุดประสงค์ในการรับรองการจัดการความปลอดภัยของซัพพลายเชนที่รัดกุม
พวกเขามีความปรารถนาที่จะเพิ่มการยืนยันตัวตนแบบออนบอร์ดในอนาคตอันใกล้นี้ และอัปเดตฮาร์ดแวร์วอลเล็ตรุ่นล่าสุดด้วยองค์ประกอบความปลอดภัยระดับสูง
ตามที่ OneKey กล่าว วัตถุประสงค์หลักของฮาร์ดแวร์วอลเล็ตคือการปกป้องทรัพย์สินทางการเงินของผู้ใช้จากการโจมตีทางไซเบอร์ ไวรัสคอมพิวเตอร์ และภัยคุกคามอื่นๆ อย่างไรก็ตาม น่าเศร้าที่ไม่มีสิ่งใดปลอดภัยอย่างสมบูรณ์
“เมื่อเราดูกระบวนการผลิตทั้งหมดของฮาร์ดแวร์วอลเล็ท ตั้งแต่ผลึกซิลิกอนไปจนถึงรหัสชิป ตั้งแต่เฟิร์มแวร์ไปจนถึง ซอฟต์แวร์พูดได้อย่างปลอดภัยว่าสิ่งกีดขวางทางฮาร์ดแวร์สามารถถูกเจาะได้ด้วยเงิน เวลา และทรัพยากรที่เพียงพอ แม้ว่าจะเป็นระบบควบคุมอาวุธนิวเคลียร์ก็ตาม” “เมื่อเราดูกระบวนการผลิตทั้งหมดของฮาร์ดแวร์วอลเล็ต ตั้งแต่ผลึกซิลิกอนไปจนถึงรหัสชิป ตั้งแต่เฟิร์มแวร์ไปจนถึงซอฟต์แวร์”
ที่มา: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked