Unciphered บริษัทสตาร์ทอัพด้านความปลอดภัยทางไซเบอร์ สาธิตการแฮ็กกระเป๋าเงินฮาร์ดแวร์ Crypto ที่ได้รับความนิยมอย่างล้นหลาม ซึ่งกระเป๋าเงินดังกล่าวผลิตโดย OneKey บริษัทในฮ่องกงที่ระดมทุนได้กว่า 20 ล้านดอลลาร์ในปีที่แล้ว
Unciphered แสดงสิ่งที่เรียกว่าการแฮ็กกระเป๋าเงินแบบ “คนตรงกลาง” ในวิดีโอบน YouTube ที่สามารถแยก mnemonic seed phrase หรือที่เรียกว่า private key ออกจากกระเป๋าเงินฮาร์ดแวร์ OneKey Mini ด้วยการใช้ประโยชน์จากช่องโหว่ และหลังจากนั้น OneKey ก็แก้ไขช่องโหว่ทันทีหลังจากได้รับการติดต่อจาก Unciphered
private key ที่ให้สิทธิ์การเข้าถึงสินทรัพย์ Crypto ในกระเป๋าเงินฮาร์ดแวร์ มักจะถูกจัดเก็บแบบออฟไลน์ และได้รับการปกป้องโดยอุปกรณ์ทางกายภาพ เพื่อทำให้เจ้าของกระเป๋าเงินสามารถเลี่ยงความเสี่ยงจากการถูกแฮ็กหรือถูกโจรกรรมทางไซเบอร์ได้ แต่ Unciphered สามารถข้ามกลไกการรักษาความปลอดภัยของฮาร์ดแวร์ที่ใส่ไว้ใน OneKey Mini ได้
บริษัทรักษาความปลอดภัยกล่าวว่า พวกเขาใช้ประโยชน์จากการที่ไม่มีการเข้ารหัสระหว่าง CPU ของกระเป๋าเงินฮาร์ดแวร์และ secure element โดยใช้ field programmable gate array ในการสกัดกั้นการเชื่อมต่อระหว่าง processor และ secure element ซึ่งเป็นสิ่งที่มี seed phrase อยู่ในอุปกรณ์
“FPGA เป็นตัวประมวลผลความเร็วสูง หรือที่เรียกว่า field programmable gate array ทำให้เราสามารถทำซ้ำผ่านอัลกอริทึมต่าง ๆ ข้ามการรักษาความปลอดภัยของกระเป๋าเงิน และดึงหน่วยความจำออกมา” Unciphered กล่าว
OneKey ยอมรับช่องโหว่ที่บริษัท Unciphered ค้นพบ และกล่าวว่าได้อัปเดตแพตช์ความปลอดภัยเป็นที่เรียบร้อยแล้ว
“ไม่มีใครได้รับผลกระทบจากเหตุการณ์นี้” OneKey กล่าว โดยเน้นย้ำว่าการโจมตีที่เกิดขึ้นโดย Unciphered ไม่สามารถโจมตีจากระยะไกลได้ และจะต้องใช้ทั้งกระเป๋าเงินดิจิทัลของผู้ใช้และอุปกรณ์ FPGA แบบพิเศษ ทั้งนี้ OneKey ยังกล่าวว่าได้จ่ายเงินรางวัลให้กับ Unciphered สำหรับการเปิดเผยช่องโหว่แล้ว
ที่มา: theblock