Стартап в области кибербезопасности Unciphered продемонстрировал взлом известного аппаратного криптокошелька, созданного OneKey, гонконгской фирмой, которая в прошлом году привлекла 20 миллионов долларов. Unciphered продемонстрировала так называемый взлом кошелька «человек посередине» в видео на YouTube, где она смогла извлечь мнемоническую сид-фразу, также известную как закрытый ключ, из аппаратного кошелька OneKey Mini, используя уязвимость. OneKey быстро исправила уязвимость после того, как с ней связались. В аппаратном кошельке закрытые ключи, которые предоставляют доступ к криптоактивам, хранятся в автономном режиме и защищены физическим устройством, что делает их гораздо менее уязвимыми для взлома или кражи. Но Unciphered удалось обойти аппаратные механизмы безопасности, реализованные в OneKey Mini. Фирма заявила, что воспользовалась отсутствием шифрования между процессором аппаратного кошелька и защитным элементом, используя программируемую пользователем вентильную матрицу, которая могла перехватывать обмен данными между процессором и защитным элементом, который содержит исходную фразу устройства. Никто не пострадал «FPGA — это высокоскоростной процессор, также известный как программируемая пользователем вентильная матрица, позволяющая нам перебирать различные алгоритмы, обходить защиту кошелька и извлекать мнемоники», — говорится в сообщении Unciphered. OneKey признал наличие уязвимости в своем заявлении и сообщил, что обновил исправление для системы безопасности. «Никто не пострадал», — заявили в компании, подчеркнув, что потенциальная атака, как продемонстрировала Unciphered, не может быть использована удаленно и потребует как крипто-кошелька пользователя, так и специализированного оборудования FPGA. OneKey заявила, что заплатила Unciphered вознаграждение за раскрытие информации.
Источник:
