Startup de cibersegurança Unciphered demonstraram um hack de uma notável carteira criptográfica de hardware fabricada pela OneKey, uma empresa com sede em Hong Kong que levantou $ 20 milhões ano passado.
A Unciphered mostrou o que é chamado de hack "man-in-the-middle" da carteira em um vídeo do YouTube, onde foi capaz de extrair a frase inicial mnemônica, também conhecida como chave privada, da carteira de hardware OneKey Mini explorando uma vulnerabilidade . O OneKey corrigiu prontamente a vulnerabilidade após ser contatado.
Em uma carteira de hardware, as chaves privadas que concedem acesso a criptoativos são armazenadas offline e protegidas por um dispositivo físico, o que as torna muito menos suscetíveis a hackers ou roubos. Mas o Unciphered foi capaz de contornar os mecanismos de segurança de hardware implementados no OneKey Mini.
A empresa disse que explorou a falta de criptografia entre a CPU da carteira de hardware e o elemento seguro usando uma matriz de portão programável em campo que foi capaz de interceptar as comunicações entre o processador e o elemento seguro, que contém a frase inicial do dispositivo.
Ninguém afetado
“O FPGA é um processador de alta velocidade, também conhecido como field programmable gate array, que nos permite iterar através de diferentes algoritmos, ignorar a segurança da carteira e extrair os mnemônicos”, disse Unciphered.
OneKey reconheceu a vulnerabilidade em um afirmação e disse que havia atualizado o patch de segurança.
“Ninguém foi afetado”, disse a empresa, enfatizando que um ataque potencial, como demonstrado pelo Unciphered, não pode ser explorado remotamente e exigiria tanto a carteira criptográfica de um usuário quanto um equipamento FPGA especializado.
A OneKey disse que pagou uma recompensa à Unciphered pela divulgação.
© 2023 The Block Crypto, Inc. Todos os direitos reservados. Este artigo é fornecido apenas para fins informativos. Não é oferecido ou deve ser usado como aconselhamento jurídico, tributário, de investimento, financeiro ou outro.
Fonte: https://www.theblock.co/post/210665/security-firm-uciphered-hacked-into-popular-hardware-wallet-onekey?utm_source=rss&utm_medium=rss