mardi, décembre 24, 2024

OneKey dit avoir corrigé le défaut qui a piraté son portefeuille matériel en 1 seconde

Le fournisseur de portefeuilles matériels cryptographiques OneKey affirme avoir déjà corrigé une vulnérabilité dans son micrologiciel qui permettait à l’un de ses portefeuilles matériels d’être piraté en une seconde.

Le 10 février, une vidéo sur YouTube posté par la startup de cybersécurité Unciphered a montré qu’ils avaient trouvé un moyen d’exploiter une « vulnérabilité critique massive » afin de « craquer » un OneKey Mini.

Selon Eric Michaud, partenaire de Unciphered, en démontant l’appareil et en insérant du codage, il était possible de remettre le OneKey Mini en « mode usine » et de contourner le pin de sécurité, permettant à un attaquant potentiel de supprimer la phrase mnémonique utilisée pour récupérer un portefeuille.

« Vous avez le CPU et l’élément sécurisé. L’élément sécurisé est l’endroit où vous conservez vos clés de chiffrement. Maintenant, normalement, les communications sont cryptées entre le CPU, où le traitement est effectué, et l’élément sécurisé », a expliqué Michaud.

« Eh bien, il s’avère qu’il n’a pas été conçu pour le faire dans ce cas. Donc, ce que vous pourriez faire, c’est mettre un outil au milieu qui surveille les communications et les intercepte, puis injecte ses propres commandes », a-t-il déclaré, ajoutant :

« Nous l’avons fait là où il indique ensuite à l’élément sécurisé qu’il est en mode usine et nous pouvons retirer vos mnémoniques, qui sont votre argent en crypto. »

Cependant, dans une déclaration du 10 février, OneKey a déclaré qu’il avait déjà adressé la faille de sécurité identifiée par Unciphered, notant que son équipe matérielle avait mis à jour le correctif de sécurité « plus tôt cette année » sans que « personne ne soit affecté » et que « toutes les vulnérabilités divulguées ont été ou sont en cours de correction ».

« Cela dit, avec les phrases de mot de passe et les pratiques de sécurité de base, même les attaques physiques divulguées par Unciphered n’affecteront pas les utilisateurs de OneKey. »

La société a en outre souligné que même si la vulnérabilité était préoccupante, le vecteur d’attaque identifié par Unciphered ne peut pas être utilisé à distance et nécessite « le démontage de l’appareil et un accès physique via un appareil FPGA dédié en laboratoire pour pouvoir être exécuté ».

Selon OneKey, lors d’une correspondance avec Unciphered, il a été révélé que d’autres portefeuilles avaient des problèmes similaires.

« Nous avons également payé des primes non chiffrées pour les remercier de leurs contributions à la sécurité de OneKey », a déclaré OneKey.

En rapport: ‘Me hante à ce jour’ – Un projet Crypto piraté pour 4 millions de dollars dans le hall d’un hôtel

Dans son article de blog, OneKey a déclaré qu’il s’était déjà donné beaucoup de mal pour assurer la sécurité de ses utilisateurs, notamment en les protégeant des attaques de la chaîne d’approvisionnement – lorsqu’un pirate remplace un véritable portefeuille par un portefeuille contrôlé par lui.

Les mesures de OneKey ont inclus des emballages inviolables pour les livraisons et l’utilisation de fournisseurs de services de chaîne d’approvisionnement d’Apple pour assurer une gestion rigoureuse de la sécurité de la chaîne d’approvisionnement.

À l’avenir, ils espèrent mettre en œuvre l’authentification intégrée et mettre à niveau les nouveaux portefeuilles matériels avec des composants de sécurité de niveau supérieur.

OneKey a noté que l’objectif principal des portefeuilles matériels a toujours été de protéger l’argent des utilisateurs contre les attaques de logiciels malveillants, les virus informatiques et d’autres dangers à distance, mais a reconnu que malheureusement, rien ne peut être sûr à 100 %.

« Lorsque nous examinons l’ensemble du processus de fabrication du portefeuille matériel, des cristaux de silicium au code de la puce, du micrologiciel au logiciel, il est sûr de dire qu’avec suffisamment d’argent, de temps et de ressources, toute barrière matérielle peut être franchie, même s’il s’agit d’une arme nucléaire. Système de contrôle. »