OneKey, sebuah perusahaan yang menyediakan dompet perangkat keras kriptografi, mengatakan bahwa mereka telah menambal cacat pada firmware-nya yang memungkinkan salah satu dompet perangkat kerasnya dikompromikan dalam waktu kurang dari satu detik.
Unciphered, sebuah perusahaan di bidang keamanan siber, mengatakan dalam sebuah video yang diunggah di YouTube pada 10 Februari bahwa mereka telah menemukan cara untuk "mendobrak" OneKey Mini dengan memanfaatkan "Kelemahan besar yang besar" dan mengeksploitasinya.
Itu mungkin, menurut Eric Michaud, mitra di Unciphered, untuk mengembalikan OneKey Mini ke "mode pabrik" dan melewati pin keamanan dengan membongkar perangkat dan memasukkan kode. Ini akan memungkinkan penyerang potensial untuk menghapus frasa mnemonik yang digunakan untuk memulihkan dompet. Ini dimungkinkan dengan mengembalikan perangkat ke "mode pabrik".
“Anda memiliki unit pemrosesan pusat serta elemen keamanan. Kunci kriptografi Anda akan selalu disimpan dalam elemen pengaman. Michaud mencatat bahwa dalam situasi tipikal, koneksi antara unit pemrosesan pusat (CPU), tempat pemrosesan dilakukan, dan elemen aman dienkripsi.
“Yah, ternyata, dalam contoh khusus ini, itu tidak dibuat untuk itu. “Apa yang dapat Anda lakukan adalah meletakkan alat di tengah yang memantau komunikasi dan mencegatnya dan kemudian menyuntikkan perintah mereka sendiri,” katanya, menambahkan: “Dengan demikian, dengan frase kata sandi dan praktik keamanan dasar, bahkan serangan fisik diungkapkan oleh Unciphered tidak akan memengaruhi pengguna OneKey.”
Perusahaan melanjutkan dengan menekankan bahwa terlepas dari kenyataan bahwa kerentanannya memprihatinkan, vektor serangan yang ditemukan oleh Unciphered tidak dapat digunakan dari jarak jauh. Sebaliknya, ini memerlukan "pembongkaran perangkat dan akses fisik melalui perangkat FPGA khusus di lab" agar dapat dieksekusi.
Menurut OneKey, setelah berdiskusi dengan Unciphered, terungkap bahwa dompet lain ditemukan memiliki kesulitan serupa. Hal ini terungkap saat diketahui bahwa dompet lain memiliki masalah yang sama.
OneKey mengatakan bahwa mereka telah memberi kompensasi kepada Unciphered dengan hadiah sebagai cara untuk mengungkapkan rasa terima kasih atas kontribusi mereka terhadap keamanan perusahaan.
OneKey mengatakan dalam sebuah posting blog bahwa mereka telah mengambil tindakan pencegahan yang signifikan untuk mengamankan keselamatan pelanggannya. Tindakan pencegahan ini termasuk melindungi pelanggan dari serangan rantai pasokan, yang terjadi saat peretas mengganti dompet asli dengan dompet yang berada di bawah kendali mereka.
Pengemasan anti rusak untuk pengiriman telah menjadi salah satu langkah yang diambil oleh OneKey, bersama dengan penggunaan penyedia layanan rantai pasokan milik Apple untuk tujuan memastikan manajemen keamanan rantai pasokan yang ketat.
Mereka memiliki keinginan untuk menambahkan autentikasi onboard dalam waktu dekat dan memperbarui dompet perangkat keras terbaru dengan komponen keamanan tingkat tinggi.
Menurut apa yang dikatakan oleh OneKey, tujuan utama dompet perangkat keras selalu untuk melindungi aset keuangan pengguna dari serangan dunia maya, virus komputer, dan potensi ancaman lainnya; namun sayangnya, tidak ada yang bisa benar-benar aman.
“Saat kami melihat seluruh proses pembuatan dompet perangkat keras, dari kristal silikon hingga kode chip, dari firmware hingga perangkat lunak, aman untuk mengatakan bahwa penghalang perangkat keras apa pun dapat ditembus dengan cukup uang, waktu, dan sumber daya; bahkan jika itu adalah sistem kendali senjata nuklir.” “Saat kami melihat seluruh proses pembuatan dompet perangkat keras, dari kristal silikon hingga kode chip, dari firmware hingga perangkat lunak,”
Sumber: https://blockchain.news/news/onekey-addresses-vulnerability-that-allowed-hardware-wallet-to-be-hacked