Fournisseur de portefeuille matériel crypto Une clé a été piraté par une startup de cybersécurité Non chiffré – en une seconde. Le fabricant du portefeuille affirme que la vulnérabilité de son micrologiciel qui a permis la violation a été corrigée.
Le 9 février, Unciphered a publié une vidéo sur sa chaîne YouTube, déclarant qu’ils avaient trouvé “une vulnérabilité critique massive”, qu’ils ont réussi à exploiter en une seule seconde et à casser OneKey.
Eric Michaud, partenaire chez Unciphered, a poursuivi en expliquant le fonctionnement du piratage, notant que l’appareil possède l’unité centrale de traitement (CPU) qui est en charge du traitement et “l’élément sécurisé” où les clés de chiffrement sont conservées. Les communications entre ces deux sont normalement cryptées.
Cependant, dit Michaud,
“[It] s’avère qu’il n’a pas été conçu pour le faire dans ce cas. Nous avons compris cela. Donc, ce que vous pourriez faire, c’est mettre un outil au milieu qui surveille les communications et les intercepte, puis injecte ses propres commandes. Nous l’avons fait là où il indique ensuite à l’élément sécurisé qu’il est en mode usine et nous pouvons retirer vos mnémoniques, qui sont votre argent en crypto.”
Donc, fondamentalement, un mauvais acteur pourrait insérer un codage après avoir désassemblé OneKey Mini, remettre l’appareil en “mode usine”, contourner la broche de sécurité et prendre la phrase mnémonique.
L’équipe a contacté OneKey, engageant le programme de primes de bogues, et ils étaient prêts à travailler avec Unciphered pour corriger la vulnérabilité.
OneKey répond : “la vulnérabilité est corrigée”
Juste un jour après la publication de la vidéo, OneKey a publié une déclaration, disant que “personne n’est affecté” et que “toutes les vulnérabilités divulguées ont été ou sont en train d’être corrigées”.
Le fournisseur de portefeuille a déclaré que,
“Plus tôt cette année, nous avons reçu une divulgation responsable de la startup de cybersécurité Unciphered qui a validé une vulnérabilité potentielle dans le micrologiciel OneKey, et notre équipe matérielle a mis à jour le correctif de sécurité sans que personne ne soit affecté.”
Ces attaques ne peuvent pas être effectuées à distance, a souligné l’équipe, arguant qu’un attaquant aurait besoin de démonter l’appareil – ainsi que d’avoir “un accès physique via un appareil FPGA dédié dans le laboratoire pour pouvoir être exécuté”.
OneKey a poursuivi en disant que, bien qu’ils s’efforcent d’obtenir une sécurité à 100%, il est peu probable que quiconque y parvienne, et que les pirates blancs et les entreprises de sécurité les ont aidés à découvrir des vulnérabilités.
Ils ont en outre affirmé que d’autres fournisseurs de portefeuilles avaient des problèmes similaires, mais que OneKey était le plus rapide à les résoudre.
“Unciphered nous a dit que plusieurs autres fournisseurs de matériel de renommée mondiale avaient des problèmes similaires, alors que nous étions l’équipe la plus réactive et avons immédiatement résolu le problème”, a déclaré OneKey. “Nous avons également payé des primes non chiffrées pour les remercier de leurs contributions à la sécurité de OneKey.”
Vous pouvez regarder la démonstration du hack dans la vidéo ci-dessous.
____
Apprendre encore plus:
– MetaMask, leader du portefeuille cryptographique, révèle qu’il collecte des données utilisateur et fait face à des réactions négatives de la part de la communauté
– Les pirates informatiques et les fraudeurs ont volé 1,62 milliard de dollars au quatrième trimestre seulement
– Les 10 principales attaques de crypto-ransomware ont pris 69 millions de dollars en paiements BTC
– Exploit de 120 millions de dollars : le prix du jeton AllianceBlock manipulé dans Oracle Hack – Voici ce qui s’est passé
![Avalanche [AVAX] Scores Fresh ATH; What's Next?](https://24mag.co/wp-content/uploads/2021/11/avalanche-AVAX-Scores-frais-ATH-Et-apres-380x250.jpg)
