Startup για την ασφάλεια στον κυβερνοχώρο Unciphered κατέδειξε μια παραβίαση ενός αξιοσημείωτου πορτοφολιού κρυπτογράφησης υλικού που κατασκευάστηκε από την OneKey, μια εταιρεία με έδρα το Χονγκ Κονγκ που άντλησε $ 20 εκατομμύρια πέρυσι.
Το Unciphered έδειξε αυτό που ονομάζεται "man-in-the-middle" χακάρισμα του πορτοφολιού σε ένα βίντεο στο YouTube, όπου μπόρεσε να εξαγάγει τη μνημονική φράση, γνωστή και ως ιδιωτικό κλειδί, από το πορτοφόλι υλικού OneKey Mini εκμεταλλευόμενη μια ευπάθεια . Το OneKey επιδιορθώνει αμέσως την ευπάθεια μετά την επικοινωνία.
Σε ένα πορτοφόλι υλικού, τα ιδιωτικά κλειδιά που παρέχουν πρόσβαση σε περιουσιακά στοιχεία κρυπτογράφησης αποθηκεύονται εκτός σύνδεσης και προστατεύονται από μια φυσική συσκευή, γεγονός που τα καθιστά πολύ λιγότερο επιρρεπή σε εισβολή ή κλοπή. Αλλά το Unciphered μπόρεσε να παρακάμψει τους μηχανισμούς ασφαλείας υλικού που είχαν τεθεί σε εφαρμογή στο OneKey Mini.
Η εταιρεία είπε ότι εκμεταλλεύτηκε την έλλειψη κρυπτογράφησης μεταξύ της CPU του πορτοφολιού υλικού και του ασφαλούς στοιχείου χρησιμοποιώντας μια προγραμματιζόμενη συστοιχία πύλης πεδίου που ήταν σε θέση να παρεμποδίσει τις επικοινωνίες μεταξύ του επεξεργαστή και του στοιχείου ασφαλείας, το οποίο περιέχει τη φράση αρχικής συσκευής.
Κανείς δεν επηρεάστηκε
«Ο FPGA είναι ένας επεξεργαστής υψηλής ταχύτητας γνωστός και ως πίνακας προγραμματιζόμενης πύλης πεδίου, που μας επιτρέπει να επαναλαμβάνουμε διαφορετικούς αλγόριθμους, να παρακάμπτουμε την ασφάλεια του πορτοφολιού και να εξάγουμε τα μνημονικά», είπε ο Unciphered.
Το OneKey αναγνώρισε την ευπάθεια σε α δήλωση και είπε ότι είχε ενημερώσει την ενημερωμένη έκδοση κώδικα ασφαλείας.
«Κανείς δεν επηρεάστηκε», είπε η εταιρεία, τονίζοντας ότι μια πιθανή επίθεση, όπως καταδεικνύεται από το Unciphered, δεν μπορεί να αξιοποιηθεί εξ αποστάσεως και θα απαιτούσε τόσο το κρυπτογραφικό πορτοφόλι ενός χρήστη όσο και εξειδικευμένο εξοπλισμό FPGA.
Η OneKey είπε ότι πλήρωσε στην Unciphered ένα μπόνους για την αποκάλυψη.
© 2023 The Block Crypto, Inc. Με επιφύλαξη παντός δικαιώματος. Αυτό το άρθρο παρέχεται μόνο για ενημερωτικούς σκοπούς. Δεν προσφέρεται ή δεν προορίζεται να χρησιμοποιηθεί ως νομική, φορολογική, επενδυτική, οικονομική ή άλλη συμβουλή.
Πηγή: https://www.theblock.co/post/210665/security-firm-unciphered-hacked-into-popular-hardware-wallet-onekey?utm_source=rss&utm_medium=rss