Cybersecurity-Startup Unciphered weisen nach, dass ein Hack einer bemerkenswerten Hardware-Krypto-Brieftasche, hergestellt von OneKey, einer in Hongkong ansässigen Firma, die Geld gesammelt hat 20 Mio. US$ letztes Jahr.
Unciphered zeigte in einem YouTube-Video einen sogenannten „Man-in-the-Middle“-Hack der Brieftasche, bei dem es durch Ausnutzung einer Schwachstelle möglich war, die mnemonische Seed-Phrase, auch als privater Schlüssel bekannt, aus der OneKey Mini-Hardware-Brieftasche zu extrahieren . OneKey hat die Schwachstelle nach Kontaktaufnahme umgehend gepatcht.
In einer Hardware-Wallet werden private Schlüssel, die Zugriff auf Krypto-Assets gewähren, offline gespeichert und durch ein physisches Gerät geschützt, wodurch sie viel weniger anfällig für Hacking oder Diebstahl sind. Unciphered war jedoch in der Lage, die in OneKey Mini eingerichteten Hardware-Sicherheitsmechanismen zu umgehen.
Die Firma sagte, sie habe die fehlende Verschlüsselung zwischen der CPU der Hardware-Wallet und dem sicheren Element ausgenutzt, indem sie ein feldprogrammierbares Gate-Array verwendet habe, das in der Lage sei, die Kommunikation zwischen dem Prozessor und dem sicheren Element abzufangen, das die Seed-Phrase des Geräts enthält.
Niemand betroffen
„Das FPGA ist ein Hochgeschwindigkeitsprozessor, der auch als feldprogrammierbares Gate-Array bekannt ist und es uns ermöglicht, verschiedene Algorithmen zu durchlaufen, die Sicherheit der Brieftasche zu umgehen und die Mnemonik zu extrahieren“, sagte Unciphered.
OneKey bestätigte die Schwachstelle in a Aussage und sagte, es habe den Sicherheitspatch aktualisiert.
„Niemand war betroffen“, teilte das Unternehmen mit. Er betont, dass ein potenzieller Angriff, wie von Unciphered demonstriert, nicht aus der Ferne ausgenutzt werden kann und sowohl die Krypto-Brieftasche eines Benutzers als auch eine spezielle FPGA-Ausrüstung erfordern würde.
OneKey sagte, es habe Unciphered ein Kopfgeld für die Offenlegung gezahlt.
© 2023 The Block Crypto, Inc. Alle Rechte vorbehalten. Dieser Artikel dient nur zu Informationszwecken. Es wird nicht als Rechts-, Steuer-, Anlage-, Finanz- oder sonstige Beratung angeboten oder verwendet.
Quelle: https://www.theblock.co/post/210665/security-firm-unciphered-hacked-into-popular-hardware-wallet-onekey?utm_source=rss&utm_medium=rss