Ví phần cứng phổ biến này đã bị tấn công bởi một công ty an ninh mạng—Bạn có nên lo lắng không?

Nhà cung cấp ví phần cứng tiền điện tử Một chùm chìa khóa Bị tấn công bởi một công ty khởi nghiệp an ninh mạng không được mã hóa – trong một giây. Nhà sản xuất ví tuyên bố rằng lỗ hổng trong chương trình cơ sở cho phép vi phạm đã được khắc phục.

Vào ngày 9 tháng 2, Unciphered đã đăng một video trên kênh YouTube của họ nói rằng họ đã tìm thấy “một lỗ hổng quan trọng lớn” mà họ đã cố gắng khai thác và bẻ khóa OneKey trong chưa đầy một giây.

Đối tác của Unciphered Eric Michaud tiếp tục giải thích cách thức hoạt động của vụ hack, lưu ý rằng thiết bị có một bộ xử lý trung tâm (CPU) để xử lý và một “yếu tố bảo mật” chứa các khóa mã hóa. Giao tiếp giữa hai người này thường được mã hóa.

Tuy nhiên, Michaud nói,

“[Hóa ra]nó không được thiết kế để làm điều đó trong trường hợp này. Chúng tôi đã tìm ra cách. Vì vậy, những gì bạn có thể làm là đặt một công cụ ở giữa để giám sát các thông tin liên lạc và chặn chúng, sau đó tiêm lệnh của chính chúng. Chúng tôi hãy làm điều đó và báo cho phần tử bảo mật biết rằng nó đang ở chế độ xuất xưởng, và chúng tôi có thể loại bỏ khả năng ghi nhớ của bạn, tức là mật khẩu của bạn.”

Vì vậy, về cơ bản, bọn tội phạm có thể chèn mã sau khi tháo rời OneKey Mini, khôi phục thiết bị về “chế độ ban đầu”, bỏ qua mã bảo mật và lấy cụm từ gốc.

Nhóm đã liên hệ với OneKey, tham gia chương trình tiền thưởng lỗi và họ sẵn sàng hợp tác với Unciphered để vá lỗ hổng.

Phản hồi của OneKey: “Lỗ hổng đã được khắc phục”

Chỉ một ngày sau khi video được đăng, OneKey đã đưa ra tuyên bố rằng “không ai bị ảnh hưởng” và rằng “tất cả các lỗ hổng được tiết lộ đã hoặc đang được khắc phục.”

Nhà cung cấp ví cho biết,

“Đầu năm nay, chúng tôi đã nhận được một tiết lộ có trách nhiệm từ công ty khởi nghiệp an ninh mạng Unciphered xác nhận một lỗ hổng tiềm ẩn trong chương trình cơ sở của OneKey, nhóm phần cứng của chúng tôi đã cập nhật bản vá bảo mật và không ai bị ảnh hưởng.”

Nhóm nhấn mạnh rằng những cuộc tấn công này không thể được thực hiện từ xa, lập luận rằng những kẻ tấn công sẽ cần phải tháo rời thiết bị và “có quyền truy cập vật lý vào một thiết bị FPGA chuyên dụng trong phòng thí nghiệm để thực hiện nó.”

OneKey tiếp tục nói rằng mặc dù họ cố gắng bảo mật 100% nhưng không ai có thể đạt được điều này và các tin tặc da trắng cũng như các công ty bảo mật đã giúp họ tìm ra các lỗ hổng.

Họ còn tuyên bố rằng các nhà cung cấp ví khác cũng gặp sự cố tương tự – nhưng OneKey là giải pháp khắc phục chúng nhanh nhất.

“Unciphered đã thông báo cho chúng tôi rằng một số nhà cung cấp phần cứng nổi tiếng thế giới khác cũng gặp sự cố tương tự và chúng tôi là nhóm phản hồi nhanh nhất cũng như giải quyết vấn đề ngay lập tức”, OneKey cho biết. “Chúng tôi cũng đã trả tiền thưởng cho Unciphered vì những đóng góp của họ cho bảo mật của OneKey.”

Bạn có thể xem bản demo của bản hack trong video bên dưới.

____

tìm hiểu thêm:
– Ví tiền điện tử hàng đầu MetaMask tiết lộ nó thu thập dữ liệu người dùng, đối mặt với phản ứng dữ dội từ cộng đồng
– Tin tặc và kẻ lừa đảo tiền điện tử đã đánh cắp 1,62 tỷ đô la chỉ trong quý 4

– 10 cuộc tấn công ransomware hàng đầu đã chi 69 triệu đô la thanh toán bằng BTC
– Khai thác 120 triệu đô la: Giá mã thông báo AllianceBlock bị thao túng trong vụ hack Oracle – Đây là những gì đã xảy ra