Стартап в области кибербезопасности Unciphered продемонстрировал взлом известного аппаратного криптокошелька, созданного OneKey, гонконгской фирмой, которая в прошлом году привлекла 20 миллионов долларов.
Unciphered продемонстрировала так называемый взлом кошелька «человек посередине» в видео на YouTube, где она смогла извлечь мнемоническую сид-фразу, также известную как закрытый ключ, из аппаратного кошелька OneKey Mini, используя уязвимость. OneKey быстро исправила уязвимость после того, как с ней связались.
В аппаратном кошельке закрытые ключи, которые предоставляют доступ к криптоактивам, хранятся в автономном режиме и защищены физическим устройством, что делает их гораздо менее уязвимыми для взлома или кражи. Но Unciphered удалось обойти аппаратные механизмы безопасности, реализованные в OneKey Mini.
Фирма заявила, что воспользовалась отсутствием шифрования между процессором аппаратного кошелька и защитным элементом, используя программируемую пользователем вентильную матрицу, которая могла перехватывать обмен данными между процессором и защитным элементом, который содержит исходную фразу устройства.
Никто не пострадал
«FPGA — это высокоскоростной процессор, также известный как программируемая пользователем вентильная матрица, позволяющая нам перебирать различные алгоритмы, обходить защиту кошелька и извлекать мнемоники», — говорится в сообщении Unciphered.
OneKey признал наличие уязвимости в своем заявлении и сообщил, что обновил исправление для системы безопасности.
«Никто не пострадал», — заявили в компании, подчеркнув, что потенциальная атака, как продемонстрировала Unciphered, не может быть использована удаленно и потребует как крипто-кошелька пользователя, так и специализированного оборудования FPGA.
OneKey заявила, что заплатила Unciphered вознаграждение за раскрытие информации.