OneKey dice que ha corregido el fallo por el que su monedero de hardware fue hackeado en 1 segundo
El proveedor de monederos electrónicos de criptomonedas OneKey afirma que ya ha solucionado una vulnerabilidad en su firmware que permitió hackear uno de sus monederos electrónicos en un segundo.
Un vídeo publicado en YouTube el 10 de febrero por la empresa de ciberseguridad Unciphered mostraba que habían descubierto una forma de explotar una “vulnerabilidad crítica masiva” que les permitió “abrir” un OneKey Mini.
Según Eric Michaud, socio de Unciphered, desmontando el dispositivo e insertando código era posible devolver la OneKey Mini al “modo de fábrica” y saltarse el pin de seguridad, lo que le permitía a un potencial atacante eliminar la frase mnemotécnica utilizada para recuperar un monedero.
“Tienes el CPU y el elemento seguro. El elemento seguro es donde guardas tus claves de criptomonedas. Ahora bien, normalmente, las comunicaciones se cifran entre el CPU, donde se realiza el procesamiento, y el elemento seguro”, explicó Michaud.
“Pues resulta que no estaba diseñado para hacerlo en este caso. Así que lo que se puede hacer es poner una herramienta en medio que monitorice las comunicaciones y las intercepte para luego inyectar sus propios comandos”, dijo, y añadió:
“Hicimos eso donde entonces le dice al elemento seguro que está en modo de fábrica y podemos quitarle sus mnemónicos, que es su dinero en criptomonedas.”
Sin embargo, en una declaración del 10 de febrero, OneKey dijo que ya había abordado el fallo de seguridad identificado por Unciphered, señalando que su equipo de hardware había actualizado el parche de seguridad “a principios de este año” sin que “nadie se viera afectado” y que “Todas las vulnerabilidades reveladas han sido o están siendo corregidas.
Our Response to Recent Security Fix Reports https://t.co/Dp9nNp1D0U
— OneKey Open Source Wallet (@OneKeyHQ) February 10, 2023
Nuestra respuesta a los recientes informes sobre correcciones de seguridad https://t.co/Dp9nNp1D0U
“Dicho esto, con frases de contraseña y prácticas básicas de seguridad, incluso los ataques físicos revelados por Unciphered no afectarán a los usuarios de OneKey”.
La compañía destacó además que, si bien la vulnerabilidad era preocupante, el vector de ataque identificado por Unciphered no se puede utilizar de forma remota y requiere “el desmontaje del dispositivo y el acceso físico a través de un dispositivo FPGA dedicado en el laboratorio para ser posible de ejecutar”.
Según OneKey, durante la correspondencia con Unciphered, se reveló que se han encontrado otros monederos con problemas similares.
“También pagamos recompensas a Unciphered para agradecerles sus contribuciones a la seguridad de OneKey”, dijo OneKey.
En su entrada de blog, OneKey ha dicho que ya ha hecho grandes esfuerzos para garantizar la seguridad de sus usuarios, incluida la protección contra ataques a la cadena de suministro, cuando un hacker reemplaza un monedero genuino por uno controlado por ellos.
Las medidas de OneKey han incluido embalajes a prueba de manipulaciones para las entregas y el uso de proveedores de servicios de la cadena de suministro de Apple para garantizar una gestión rigurosa de la seguridad de la cadena de suministro.
En el futuro, esperan implantar la autenticación a bordo y actualizar los nuevos monederos de hardware con componentes de seguridad de mayor nivel.
OneKey escribió que el principal objetivo de los monederos de hardware siempre ha sido proteger el dinero de los usuarios de ataques de malware, virus informáticos y otros peligros remotos, pero, por desgracia, nada puede ser seguro al 100%.
“Cuando observamos todo el proceso de fabricación de los monederos de hardware, desde los cristales de silicio hasta el código del chip, desde el firmware hasta el software, es seguro decir que con suficiente dinero, tiempo y recursos, cualquier barrera de hardware puede ser violada, incluso si se trata de un sistema de control de armas nucleares”.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión
Sigue leyendo:
Las inversiones en criptoactivos no están reguladas. Es posible que no sean apropiados para inversores minoristas y que se pierda el monto total invertido. Los servicios o productos ofrecidos no están dirigidos ni son accesibles a inversores en España.