Startup dotyczący cyberbezpieczeństwa Unciphered wykazać włamanie do godnego uwagi sprzętowego portfela kryptograficznego wyprodukowanego przez OneKey, firmę z Hongkongu, która podniosła $ 20 mln ostatni rok.
Unciphered pokazał tak zwany hack „man-in-the-middle” portfela w filmie na YouTube, w którym był w stanie wyodrębnić mnemoniczną frazę źródłową, znaną również jako klucz prywatny, z portfela sprzętowego OneKey Mini, wykorzystując lukę w zabezpieczeniach . Firma OneKey natychmiast załatała lukę po skontaktowaniu się z nią.
W portfelu sprzętowym klucze prywatne, które zapewniają dostęp do zasobów kryptograficznych, są przechowywane w trybie offline i chronione przez fizyczne urządzenie, co czyni je znacznie mniej podatnymi na włamanie lub kradzież. Ale Unciphered był w stanie ominąć sprzętowe mechanizmy bezpieczeństwa wprowadzone w OneKey Mini.
Firma twierdzi, że wykorzystała brak szyfrowania między procesorem portfela sprzętowego a bezpiecznym elementem, używając programowalnej macierzy bramek, która była w stanie przechwycić komunikację między procesorem a bezpiecznym elementem, który zawiera frazę początkową urządzenia.
Nikt nie dotknięty
„FPGA to szybki procesor znany również jako programowalna tablica bramek, pozwalająca nam na iterację różnych algorytmów, ominięcie zabezpieczeń portfela i wyodrębnienie mnemoników” – powiedział Unciphered.
OneKey potwierdził lukę w zabezpieczeniach a oświadczenie i powiedział, że zaktualizował poprawkę bezpieczeństwa.
„Nikt nie został dotknięty” — zapewnia firma podkreślając, że potencjalny atak, jak wykazał Unciphered, nie może być wykorzystany zdalnie i wymagałby zarówno portfela kryptograficznego użytkownika, jak i specjalistycznego sprzętu FPGA.
OneKey powiedział, że zapłacił Unciphered nagrodę za ujawnienie.
© 2023 The Block Crypto, Inc. Wszelkie prawa zastrzeżone. Ten artykuł służy wyłącznie celom informacyjnym. Nie jest oferowany ani przeznaczony do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://www.theblock.co/post/210665/security-firm-unciphered-hacked-into-popular-hardware-wallet-onekey?utm_source=rss&utm_medium=rss