OneKey, sebuah perusahaan yang menyediakan dompet perangkat keras kriptografi, mengatakan bahwa mereka telah menambal cacat pada firmware-nya yang memungkinkan salah satu dompet perangkat kerasnya dikompromikan dalam waktu kurang dari satu detik.

Unciphered, sebuah perusahaan di bidang keamanan siber, mengatakan dalam sebuah video yang diunggah di YouTube pada 10 Februari bahwa mereka telah menemukan cara untuk “membuka” OneKey Mini dengan mengambil keuntungan dari “Cacat besar besar” dan mengeksploitasinya.

Itu mungkin, menurut Eric Michaud, seorang mitra di Unciphered, untuk mengembalikan OneKey Mini ke “mode pabrik” dan melewati pin keamanan dengan membongkar perangkat dan memasukkan pengkodean. Ini akan memungkinkan penyerang potensial untuk menghapus frasa mnemonik yang digunakan untuk memulihkan dompet. Ini dimungkinkan dengan mengembalikan perangkat ke “mode pabrik.”

“Anda memiliki unit pemrosesan pusat serta elemen keamanan. Kunci kriptografi Anda akan selalu disimpan dalam elemen aman. Michaud mencatat bahwa dalam situasi yang khas, koneksi antara unit pemrosesan pusat (CPU), yang merupakan tempat pemrosesan dilakukan, dan elemen aman dienkripsi.

“Yah, ternyata, dalam contoh khusus ini, itu tidak dibangun untuk melakukannya. ” Apa yang dapat Anda lakukan adalah meletakkan alat di tengah yang memantau komunikasi dan mencegatnya dan kemudian menyuntikkan perintah mereka sendiri,” katanya, menambahkan: “Yang sedang berkata, dengan frasa kata sandi dan praktik keamanan dasar, bahkan serangan fisik yang diungkapkan oleh Unciphered tidak akan mempengaruhi pengguna OneKey.”

Perusahaan melanjutkan dengan menekankan bahwa terlepas dari kenyataan bahwa kerentanan itu mengkhawatirkan, vektor serangan yang ditemukan oleh Unciphered tidak dapat digunakan dari jarak jauh. Sebaliknya, ini mengharuskan “pembongkaran perangkat dan akses fisik melalui perangkat FPGA khusus di lab” agar dapat dieksekusi.

Menurut OneKey, setelah berdiskusi dengan Unciphered, dibocorkan bahwa dompet lain ditemukan memiliki kesulitan serupa. Ini diungkapkan ketika ditemukan bahwa dompet lain memiliki masalah yang sama.

OneKey mengatakan bahwa mereka telah memberi kompensasi kepada Unciphered dengan hadiah sebagai cara untuk mengungkapkan rasa terima kasih atas kontribusi mereka terhadap keamanan perusahaan.

OneKey telah mengatakan dalam sebuah posting blog bahwa ia telah mengambil tindakan pencegahan yang signifikan untuk mengamankan keselamatan pelanggannya. Tindakan pencegahan ini termasuk melindungi pelanggan dari serangan rantai pasokan, yang terjadi ketika peretas mengganti dompet asli dengan dompet yang berada di bawah kendali mereka.

Pengemasan anti-rusak untuk pengiriman telah menjadi salah satu langkah yang diambil oleh OneKey, bersama dengan penggunaan penyedia layanan rantai pasokan Apple sendiri untuk tujuan memastikan manajemen keamanan rantai pasokan yang ketat.

Mereka memiliki aspirasi untuk menambahkan otentikasi onboard dalam waktu yang tidak terlalu lama dan untuk memperbarui dompet perangkat keras yang lebih baru dengan komponen keamanan tingkat yang lebih tinggi.

Menurut apa yang dikatakan oleh OneKey, tujuan utama dompet perangkat keras selalu untuk melindungi aset keuangan pengguna dari serangan dunia maya, virus komputer, dan potensi ancaman lainnya; Namun demikian, sayangnya, tidak ada yang bisa sepenuhnya aman.

“Ketika kita melihat seluruh proses pembuatan dompet perangkat keras, dari kristal silikon hingga kode chip, dari firmware hingga perangkat lunak, aman untuk mengatakan bahwa penghalang perangkat keras apa pun dapat dilanggar dengan cukup uang, waktu, dan sumber daya; bahkan jika itu adalah sistem kontrol senjata nuklir.” “Ketika kita melihat seluruh proses pembuatan dompet perangkat keras, dari kristal silikon hingga kode chip, dari firmware hingga perangkat lunak,”