Mae darparwr waled caledwedd crypto OneKey yn dweud ei fod eisoes wedi mynd i'r afael â bregusrwydd yn ei firmware a oedd yn caniatáu i un o'i waledi caledwedd gael ei hacio mewn un eiliad fflat.
Fideo ar YouTube bostio ar Chwefror 10 gan gwmni cychwyn seiberddiogelwch Dangosodd Unciphered eu bod wedi darganfod ffordd i fanteisio ar “wendid critigol enfawr” a oedd yn caniatáu iddynt “gracio agor” OneKey Mini.
Yn ôl Eric Michaud, partner yn Unciphered, trwy ddadosod y ddyfais a mewnosod codio, roedd yn bosibl dychwelyd yr OneKey Mini i “modd ffatri” a osgoi'r pin diogelwch, gan ganiatáu i ymosodwr posibl gael gwared ar yr ymadrodd cofiadwy a ddefnyddiwyd i adennill a waled.
“Mae gennych chi'r CPU a'r elfen ddiogel. Yr elfen ddiogel yw lle rydych chi'n cadw'ch allweddi crypto. Nawr, fel arfer, mae'r cyfathrebiadau wedi'u hamgryptio rhwng y CPU, lle mae'r prosesu'n cael ei wneud, a'r elfen ddiogel, ”esboniodd Michaud.
“Wel mae'n troi allan na chafodd ei gynllunio i wneud hynny yn yr achos hwn. Felly beth allech chi ei wneud yw rhoi teclyn yn y canol sy'n monitro'r cyfathrebiadau ac yn eu rhyng-gipio ac yna'n chwistrellu eu gorchmynion eu hunain, ”meddai, gan ychwanegu:
“Fe wnaethon ni hynny lle mae'n dweud wrth yr elfen ddiogel ei fod yn y modd ffatri a gallwn dynnu'ch cofrau allan, sef eich arian yn crypto.”
Fodd bynnag, mewn datganiad ar Chwefror 10, dywedodd OneKey ei fod eisoes wedi gwneud hynny mynd i'r afael â hwy y diffyg diogelwch a nodwyd gan Unciphered, gan nodi bod ei dîm caledwedd wedi diweddaru’r darn diogelwch “yn gynharach eleni” heb “effeithio ar unrhyw un” a bod “yr holl wendidau a ddatgelwyd wedi cael eu trwsio neu yn cael eu trwsio.”
Ein Hymateb i Adroddiadau Trwsio Diogelwch Diweddar https://t.co/Dp9nNp1D0U
— Waled Ffynhonnell Agored OneKey (@OneKeyHQ) Chwefror 10, 2023
“Wedi dweud hynny, gydag ymadroddion cyfrinair ac arferion diogelwch sylfaenol, ni fydd hyd yn oed ymosodiadau corfforol a ddatgelir gan Unciphered yn effeithio ar ddefnyddwyr OneKey.”
Amlygodd y cwmni ymhellach, er bod y bregusrwydd yn peri pryder, ni all y fector ymosodiad a nodwyd gan Unciphered gael ei ddefnyddio o bell ac mae angen “dadosod y ddyfais a mynediad corfforol trwy ddyfais FPGA bwrpasol yn y labordy i fod yn bosibl ei weithredu.”
Yn ôl OneKey, yn ystod gohebiaeth ag Unciphered, datgelwyd bod waledi eraill wedi bod canfuwyd bod ganddo broblemau tebyg.
“Fe wnaethon ni hefyd dalu bounties Unciphered i ddiolch iddyn nhw am eu cyfraniadau i ddiogelwch OneKey,” meddai OneKey.
Cysylltiedig: 'Yn fy mhoeni hyd heddiw' - prosiect Crypto wedi'i hacio am $4M mewn lobi gwesty
Yn ei bost blog, mae OneKey wedi dweud ei fod eisoes wedi mynd i boenau mawr i sicrhau diogelwch ei ddefnyddwyr, gan gynnwys eu hamddiffyn rhag ymosodiadau cadwyn gyflenwi — pan fydd haciwr yn disodli waled ddilys am un a reolir ganddynt.
Mae mesurau OneKey wedi cynnwys pecynnu atal ymyrraeth ar gyfer danfoniadau a defnyddio darparwyr gwasanaeth cadwyn gyflenwi o Apple i sicrhau rheolaeth lem ar ddiogelwch y gadwyn gyflenwi.
Yn y dyfodol, maent yn gobeithio gweithredu dilysiad ar y bwrdd ac uwchraddio waledi caledwedd mwy newydd gyda chydrannau diogelwch lefel uwch.
Ysgrifennodd OneKey fod y prif pwrpas waledi caledwedd wedi bod erioed i amddiffyn arian defnyddwyr rhag ymosodiadau malware, firysau cyfrifiadurol a pheryglon eraill o bell, ond yn anffodus, ni all dim fod yn 100% yn ddiogel.
“Pan edrychwn ar y broses weithgynhyrchu waledi caledwedd gyfan, o grisialau silicon i god sglodion, o firmware i feddalwedd, mae'n ddiogel dweud, gyda digon o arian, amser ac adnoddau, y gellir torri unrhyw rwystr caledwedd, hyd yn oed os yw'n arf niwclear. system reoli.”
Ffynhonnell: https://cointelegraph.com/news/onekey-says-it-s-fixed-the-flaw-that-got-its-hardware-wallet-hacked-in-1-second