Startup de ciberseguridad Unciphered demostrado un hackeo de una billetera criptográfica de hardware notable fabricada por OneKey, una empresa con sede en Hong Kong que planteó 20 millones de dólares el año pasado.
Unciphered mostró lo que se llama un "man-in-the-middle" pirateo de la billetera en un video de YouTube donde pudo extraer la frase semilla mnemotécnica, también conocida como clave privada, de la billetera de hardware OneKey Mini al explotar una vulnerabilidad. . OneKey corrigió rápidamente la vulnerabilidad después de ser contactado.
En una billetera de hardware, las claves privadas que otorgan acceso a los criptoactivos se almacenan fuera de línea y están protegidas por un dispositivo físico, lo que las hace mucho menos susceptibles a la piratería o el robo. Pero Unciphered pudo eludir los mecanismos de seguridad del hardware implementados en OneKey Mini.
La firma dijo que aprovechó la falta de encriptación entre la CPU de la billetera de hardware y el elemento seguro mediante el uso de una matriz de puertas programables en campo que pudo interceptar las comunicaciones entre el procesador y el elemento seguro, que contiene la frase inicial del dispositivo.
nadie afectado
“El FPGA es un procesador de alta velocidad, también conocido como matriz de compuertas programables en campo, que nos permite iterar a través de diferentes algoritmos, eludir la seguridad de la billetera y extraer los mnemotécnicos”, dijo Unciphered.
OneKey reconoció la vulnerabilidad en un ambiental y dijo que había actualizado el parche de seguridad.
“Nadie se vio afectado”, dijo la compañía. enfatizando que un ataque potencial, como lo demostró Unciphered, no puede explotarse de forma remota y requeriría tanto la billetera criptográfica de un usuario como un equipo FPGA especializado.
OneKey dijo que pagó a Unciphered una recompensa por la divulgación.
© 2023 The Block Crypto, Inc. Todos los derechos reservados. Este artículo se proporciona sólo para fines informativos. No se ofrece ni pretende utilizarse como asesoramiento legal, fiscal, de inversión, financiero o de otro tipo.
Fuente: https://www.theblock.co/post/210665/security-firm-unciphered-hacked-into-popular-hardware-wallet-onekey?utm_source=rss&utm_medium=rss