Startup de cybersécurité Unciphered démontré un piratage d'un portefeuille cryptographique matériel notable fabriqué par OneKey, une entreprise basée à Hong Kong qui a levé 20 millions de dollars l'année dernière.
Unciphered a montré ce qu'on appelle un piratage "man-in-the-middle" du portefeuille dans une vidéo YouTube où il a pu extraire la phrase de départ mnémonique, également connue sous le nom de clé privée, du portefeuille matériel OneKey Mini en exploitant une vulnérabilité . OneKey a rapidement corrigé la vulnérabilité après avoir été contacté.
Dans un portefeuille matériel, les clés privées qui donnent accès aux actifs cryptographiques sont stockées hors ligne et protégées par un appareil physique, ce qui les rend beaucoup moins susceptibles d'être piratées ou volées. Mais Unciphered a pu contourner les mécanismes de sécurité matériels mis en place dans OneKey Mini.
La société a déclaré avoir exploité le manque de cryptage entre le processeur du portefeuille matériel et l'élément sécurisé en utilisant un réseau de portes programmables sur site capable d'intercepter les communications entre le processeur et l'élément sécurisé, qui contient la phrase de départ de l'appareil.
Personne n'est touché
"Le FPGA est un processeur à grande vitesse également connu sous le nom de réseau de portes programmable sur le terrain, nous permettant d'itérer à travers différents algorithmes, de contourner la sécurité du portefeuille et d'extraire les mnémoniques", a déclaré Unciphered.
OneKey a reconnu la vulnérabilité d'un déclaration et a dit qu'il avait mis à jour le correctif de sécurité.
"Personne n'a été touché", a déclaré la société, soulignant qu'une attaque potentielle, comme le démontre Unciphered, ne peut pas être exploitée à distance et nécessiterait à la fois le portefeuille crypto d'un utilisateur et un équipement FPGA spécialisé.
OneKey a déclaré avoir versé une prime à Unciphered pour la divulgation.
© 2023 The Block Crypto, Inc. Tous droits réservés. Cet article est fourni à titre informatif seulement. Il n'est pas offert ou destiné à être utilisé comme conseil juridique, fiscal, d'investissement, financier ou autre.
Source : https://www.theblock.co/post/210665/security-firm-unciphered-hacked-into-popular-hardware-wallet-onekey?utm_source=rss&utm_medium=rss