OneKey ผู้ให้บริการกระเป๋าเงินฮาร์ดแวร์ Crypto กล่าวว่าได้แก้ไขช่องโหว่ในเฟิร์มแวร์ที่อนุญาตให้กระเป๋าเงินฮาร์ดแวร์ตัวใดตัวหนึ่งถูกแฮ็กในหนึ่งวินาที
วิดีโอบน YouTube โพสต์ เมื่อวันที่ 10 กุมภาพันธ์โดยบริษัทสตาร์ทอัพด้านความปลอดภัยทางไซเบอร์ Unciphered แสดงให้เห็นว่าพวกเขาพบวิธีที่จะใช้ประโยชน์จาก “ช่องโหว่วิกฤตขนาดใหญ่” ที่ทำให้พวกเขาสามารถ “เจาะเปิด” OneKey Mini ได้
จากข้อมูลของ Eric Michaud หุ้นส่วนของ Unciphered การถอดประกอบอุปกรณ์และใส่โค้ด ทำให้ OneKey Mini กลับสู่ "โหมดโรงงาน" และข้ามรหัสความปลอดภัยได้ ทำให้ผู้โจมตีสามารถลบวลีช่วยจำที่ใช้ในการกู้คืน กระเป๋าสตางค์.
“คุณมี CPU และองค์ประกอบที่ปลอดภัย องค์ประกอบที่ปลอดภัยคือที่ที่คุณเก็บคีย์เข้ารหัสของคุณ ตอนนี้ โดยปกติแล้ว การสื่อสารจะถูกเข้ารหัสระหว่าง CPU ซึ่งประมวลผลเสร็จแล้ว และองค์ประกอบที่ปลอดภัย” Michaud อธิบาย
“ปรากฎว่ามันไม่ได้ถูกออกแบบมาให้ทำเช่นนั้นในกรณีนี้ ดังนั้น สิ่งที่คุณทำได้คือวางเครื่องมือไว้ตรงกลางที่ตรวจสอบการสื่อสารและสกัดกั้นพวกมัน จากนั้นจึงป้อนคำสั่งของพวกมันเอง” เขากล่าว พร้อมเสริมว่า:
“เราทำอย่างนั้นโดยที่มันบอกองค์ประกอบที่ปลอดภัยว่าอยู่ในโหมดโรงงาน และเราสามารถเอาการจำของคุณออกไปได้ ซึ่งก็คือเงินของคุณในสกุลเงินดิจิทัล”
อย่างไรก็ตาม ในแถลงการณ์เมื่อวันที่ 10 ก.พ. OneKey กล่าวว่ามีอยู่แล้ว จ่าหน้า ข้อบกพร่องด้านความปลอดภัยที่ระบุโดย Unciphered โดยสังเกตว่าทีมฮาร์ดแวร์ได้อัปเดตแพตช์ความปลอดภัย “เมื่อต้นปีนี้” โดยไม่มี “ใครได้รับผลกระทบ” และ “ช่องโหว่ที่เปิดเผยทั้งหมดได้รับการแก้ไขหรือกำลังแก้ไข”
การตอบสนองของเราต่อรายงานแก้ไขการรักษาความปลอดภัยล่าสุด https://t.co/Dp9nNp1D0U
— OneKey โอเพ่นซอร์ส Wallet (@OneKeyHQ) กุมภาพันธ์ 10, 2023
“ที่กล่าวว่า ด้วยวลีรหัสผ่านและหลักปฏิบัติด้านความปลอดภัยขั้นพื้นฐาน แม้แต่การโจมตีทางกายภาพที่เปิดเผยโดย Unciphered จะไม่ส่งผลกระทบต่อผู้ใช้ OneKey”
บริษัทเน้นย้ำเพิ่มเติมว่าในขณะที่ช่องโหว่กำลังเกี่ยวข้อง เวกเตอร์การโจมตีที่ระบุโดย Unciphered ไม่สามารถใช้งานได้จากระยะไกล และจำเป็นต้อง “แยกชิ้นส่วนอุปกรณ์และการเข้าถึงทางกายภาพผ่านอุปกรณ์ FPGA เฉพาะในห้องปฏิบัติการเพื่อให้สามารถดำเนินการได้”
จากข้อมูลของ OneKey ในระหว่างการติดต่อกับ Unciphered มีการเปิดเผยว่ามีกระเป๋าเงินอื่นๆ พบว่ามีปัญหาที่คล้ายกัน.
“เรายังจ่ายเงินรางวัลให้กับ Unciphered เพื่อขอบคุณพวกเขาสำหรับการมีส่วนร่วมในการรักษาความปลอดภัยของ OneKey” OneKey กล่าว
ที่เกี่ยวข้อง 'หลอกหลอนฉันจนถึงทุกวันนี้' — โครงการ Crypto ถูกแฮ็กมูลค่า 4 ล้านดอลลาร์ในล็อบบี้โรงแรม
ในบล็อกโพสต์ OneKey ได้กล่าวว่าได้ผ่านความยากลำบากมาแล้วในการรับรองความปลอดภัยของผู้ใช้ ซึ่งรวมถึงการปกป้องพวกเขาจาก การโจมตีห่วงโซ่อุปทาน — เมื่อแฮ็กเกอร์เปลี่ยนกระเป๋าเงินของแท้เป็นกระเป๋าสตางค์ที่พวกเขาควบคุม
มาตรการของ OneKey รวมถึงบรรจุภัณฑ์ป้องกันการแกะสำหรับการจัดส่งและการใช้ผู้ให้บริการซัพพลายเชนจาก Apple เพื่อให้แน่ใจว่ามีการจัดการความปลอดภัยของซัพพลายเชนที่เข้มงวด
ในอนาคต พวกเขาหวังว่าจะใช้การพิสูจน์ตัวตนแบบออนบอร์ดและอัปเกรดฮาร์ดแวร์วอลเล็ตรุ่นใหม่ที่มีส่วนประกอบความปลอดภัยระดับสูงขึ้น
OneKey เขียนว่าหลัก วัตถุประสงค์ของกระเป๋าฮาร์ดแวร์ มีไว้เพื่อปกป้องเงินของผู้ใช้จากการโจมตีของมัลแวร์ ไวรัสคอมพิวเตอร์ และอันตรายจากระยะไกลอื่นๆ มาโดยตลอด แต่น่าเสียดายที่ไม่มีสิ่งใดที่สามารถปลอดภัยได้ 100%
“เมื่อเราดูกระบวนการผลิตกระเป๋าสตางค์ของฮาร์ดแวร์ทั้งหมด ตั้งแต่ผลึกซิลิกอนไปจนถึงรหัสชิป ตั้งแต่เฟิร์มแวร์ไปจนถึงซอฟต์แวร์ กล่าวได้ว่ามีเงิน เวลา และทรัพยากรเพียงพอ สิ่งกีดขวางฮาร์ดแวร์ใดๆ ก็สามารถถูกเจาะได้ แม้ว่าจะเป็นอาวุธนิวเคลียร์ก็ตาม ระบบควบคุม."
ที่มา: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second